| |
| |||||||
Log-Analyse und Auswertung: Was muss ich hier fixen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte. |
 |
09.08.2005, 12:20
| #1 |
| |  Was muss ich hier fixen? Hallo leute! ich hab mal wieder ein problem mit irgend welchen trojanern.... ich hab den CCleaner mal laufen lassen und hab einen panda onlinscan gemacht.. der hat aber nix gefunden... ich hab mal den HijackThis laufen lassen und musste feststellen das irgend wie ziemlich viele sachen dadrin stehen mit denen ich nix anfangen kann.... Logfile of HijackThis v1.99.1 Scan saved at 12:09:16, on 09.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\kernels32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE C:\Programme\Creative\SBLive\Program\CTAvTray.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\WINDOWS\System32\icasServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\Daniel\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive\Program\CTAvTray.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=082305 serial=DR12WTX-9999998-YSP lang=DE O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [icasServ] C:\WINDOWS\System32\icasServ.exe O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_9.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe vielen dank schonmal für eure hilfe! |
|
09.08.2005, 12:32
| #2 |
| /// Helfer-Team    | Was muss ich hier fixen? Du hast ein absolut veraltetes und ungepatchtes System. Deshalb auch Deine Probleme.
__________________Lasse die Datei C:\WINDOWS\System32\kernels32.exe hier scannen: http://virusscan.jotti.org/de/ |
|
09.08.2005, 12:39
| #3 |
| | Was muss ich hier fixen? also das kam dabei raus....
__________________Datei: kernels32.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: FSG AntiVir TR/Dldr.Small.agq.4 gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender BehavesLike:Trojan.ShellStartup gefunden (mögliche Variante) ClamAV Trojan.Downloader.Small-627 gefunden Dr.Web Trojan.DownLoader.2489 gefunden F-Prot Antivirus unknown virus gefunden (mögliche Variante) Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.agq gefunden NOD32 a variant of Win32/TrojanDownloader.Small.AWA gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Trojan.Downloader.Small.1 gefunden (mögliche Variante) ich glaub das iss garnet gut... |
|
09.08.2005, 12:48
| #4 |
 | Was muss ich hier fixen? Hallo, gar net gut ist wahrscheinlich der hier C:\WINDOWS\System32\MsPMSPSv.exe==> http://vil.nai.com/vil/content/v_100454.htm wenn sich das bestädigt dann solltest du dein System Neuaufsetzen. Also beende den Prozess im Taskmanager und lasse mal die Datei hier scannen und teile das Ergebnis mit, für die Aktion solltest du deinen Virenscanner deaktivieren |
|
09.08.2005, 12:55
| #5 |
| /// Helfer-Team | Was muss ich hier fixen? Dabei handelt es sich um den: http://www.sophos.de/virusinfo/analy...dloaderfs.html Damit ist ein Neuaufsetzen erforderlich. Beachte genau: http://www.trojaner-board.de/showthread.php?t=12154 |
|
09.08.2005, 12:58
| #6 |
| | Was muss ich hier fixen? ja geil... der taskmanager wurde durch den administrator deaktiviert... und ich dachte bissher ich währ der admin...  |
|
09.08.2005, 13:14
| #7 |
| /// Helfer-Team | Was muss ich hier fixen? Wenn Du hier nicht weiterkommst, dann mache den escan, genau nach Anleitung und poste das mit der find.bat erzeugte Log: http://www.trojaner-board.de/showthread.php?t=17492 Ich denke mal, es wird ein Neuaufsetzen. |
|
09.08.2005, 13:21
| #8 | |
| | Was muss ich hier fixen?Zitat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr = "1" in HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr = "0" umändern. |
|
09.08.2005, 16:21
| #9 |
| | Was muss ich hier fixen? ich hab das mit dem scanner mal probiert... genau nach anleitung.... das kam dabei raus.... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Aug 09 14:42:10 2005 => File C:\WINDOWS\System32\kernels32.exe infected by "Trojan-Downloader.Win32.Small.agq" Virus! Action Taken: No Action Taken. Tue Aug 09 14:42:19 2005 => File C:\WINDOWS\System32\kernels32.exe infected by "Trojan-Downloader.Win32.Small.agq" Virus! Action Taken: No Action Taken. Tue Aug 09 14:42:28 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Tue Aug 09 14:42:30 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Tue Aug 09 14:51:02 2005 => File C:\WINDOWS\Downloaded Program Files\win32.exe infected by "Trojan-Downloader.Win32.Small.agq" Virus! Action Taken: No Action Taken. Tue Aug 09 14:54:02 2005 => File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHIJKLMN\winlogon[1].exe infected by "not-virus:Hoax.Win32.Renos.l" Virus! Action Taken: No Action Taken. Tue Aug 09 15:05:30 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Aug 09 15:13:12 2005 => File C:\Recycled\Q330995.exe infected by "Trojan-Downloader.Win32.Small.amb" Virus! Action Taken: No Action Taken. Tue Aug 09 15:52:46 2005 => Scanning File E:\mp3\b\Barthezz\Bartezz - Infected.mp3 Tue Aug 09 15:52:46 2005 => Scanning File E:\mp3\b\Barthezz\Barthezz - Infected.mp3 Tue Aug 09 16:02:30 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Aug 09 15:28:56 2005 => File D:\Sicherung\clonecd\kmd171_de.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken. Tue Aug 09 15:57:52 2005 => File F:\Daniel\programme\clonecd\kmd171_de.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Aug 09 16:02:30 2005 => Total Virus(es) Found: 10 Tue Aug 09 16:02:30 2005 => Total Errors: 38 Tue Aug 09 16:02:30 2005 => Time Elapsed: 01:20:24 Tue Aug 09 16:02:30 2005 => Total Objects Scanned: 104405 Tue Aug 09 14:41:32 2005 => Virus Database Date: 2005/08/09 Tue Aug 09 16:02:30 2005 => Virus Database Date: 2005/08/09 Tue Aug 09 16:03:30 2005 => Virus Database Date: 2005/08/09 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ wo muss ich das mit dem taskmanager denn einstellen? in der regestry??? ich hab das nirgendswo gefunden.... |
|
09.08.2005, 18:01
| #10 |
| /// Helfer-Team | Was muss ich hier fixen? Es ist der, wie ich vermutet habe. Laut Sophos macht er das: Troj/Vixup-F ist ein Downloader-Trojaner für die Windows-Plattform. Troj/Vixup-F enthält Funktionalität zum Herunterladen, Installieren und Starten neuer Software. Troj/Vixup-F versucht, den Windows Task-Manager zu deaktivieren. Den Taskmanager hat er ja schon. Ich weiss auch nicht, wielange er schon im System ist. Schaue es Dir selbst an: http://www.sophos.de/virusinfo/analyses/trojvixupf.html |
|
09.08.2005, 19:49
| #11 |
| | Was muss ich hier fixen? gibt es ne möglichkeit wie ich den so wieder runter bekomme? ich hab ehrlich gesagt nicht wirklich lust dazu den rewchner neu hochzuziehen... ich hab mir eben mal das norton 2005 drauf gemacht, im abgesicherten zustand hat der 8 von 10 viren weg gemacht... allerdings hat der noch 2 drinne die er anscheinend net weg kriegt.... Trojan.Repsamo in c:\windows\system32\winacpi.dll (zugriff wurde verwehrt) http://securityresponse.symantec.com...n.repsamo.html und Trojan.Goldun c:\windows\system32\tcpG4T.dll (zugriff wurde verwehrt) http://securityresponse.symantec.com...an.goldun.html |
|
09.08.2005, 20:23
| #12 |
| /// Helfer-Team | Was muss ich hier fixen? Ich weiss nicht, ich weiss nicht..... http://www.sophos.de/virusinfo/analyses/trojcimuzb.html Das wird eigendlich von Schadenspotential immer schlimmer. Dass Du keine Lust auf Neuinstallation hast, kann ich nachvollziehen. Aber Schuld hast Du selbst. Hättest den PC aktuell halten müssen. Ist eigentlich unverantwortlich von mir. Update XP und IE. Lade und update Ad-aware und Spybot und lasse die Programme laufen. Lade weiterhin die Killbox. http://www.comsafe.de/download.html Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ Danach: Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html Starte "clearprog" Häckchen bei "Alles Löschen" und auf löschen klicken. Scanne mit Adaware sowie Spybot und lösche alle Funde. Weiterhin: Lösche mit killbox: c:\windows\system32\winacpi.dll c:\windows\system32\tcpG4T.dll Starte wieder im Normalmodus. Dann mal ein neues HJT. Dann lösche im Verzeichnis C:\bases_x die Datei mwav.log. Danach neuer escan im abgesicherten Modus, wie beschrieben. Bin aber trotzdem skeptisch. |
|
09.08.2005, 23:59
| #13 |
| | Was muss ich hier fixen? hab das alles mal gemacht... bis zum schluss hat alles funktioniert... im abgesicherten findet weder spybot noch ad-aware was... allerdings lässt sich mit killbox die tcpg4t.dll nicht löschen... beim nächsten mal hochfahren im normalen modus wieder das gleiche spiel mit den norton meldungen... auch wieder in der winacpi.dll obwohlö ich die gelöscht habe.... das neue HJT-log nach dem versuch des saubermachens.... Logfile of HijackThis v1.99.1 Scan saved at 23:54:34, on 09.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE C:\Programme\Creative\SBLive\Program\CTAvTray.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\windows\system32\mdms.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX01.405\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive\Program\CTAvTray.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=082305 serial=DR12WTX-9999998-YSP lang=DE O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [icasServ] C:\WINDOWS\System32\icasServ.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_9.dll O21 - SSODL: System - {3AFB198E-B4E4-4E53-A718-AFD7390AD950} - vr_sys.dll (file missing) O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe ...den e-scan hab ich mir dann mal gespart... oder ist der von nöten? |
|
10.08.2005, 01:04
| #14 |
| | Was muss ich hier fixen? Hallo dfe2602, Deine Logfiles sehen immer schlimmer aus! Spybot und Adaware helfen bei derartigen Verseuchung keineswegs. Um wieder ein vertrauenswürdiges System zu besitzen ist eine Neuinstallation unumgänglich! http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html http://en.wikipedia.org/wiki/Botnet http://de.wikipedia.org/wiki/Backdoor Empfohlene Anleitung zur Neuinstallation http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 dartus
__________________ Kein Support per PN |
|
10.08.2005, 11:35
| #15 |
| | Was muss ich hier fixen? @ dfe2602 was soll die ganze Doktorarbeit wenn du nicht nach den Ratschlägen gehst die dir gegeben werden. Ich hatte im Post #4 schon mal darauf hingewiesen, aber anscheinend hast du das überlesen. Die Datei befindet sich immer noch auf deinem Rechner und hättest du sie geprüft wie beschrieben dann wäre das Neuaufsetzen wahrscheinlich schon dort klar gewesen. Ich kann Dartus nur beipflichten. |
|
| Themen zu Was muss ich hier fixen? |
| adobe, antivir, avgnt.exe, bho, browser, excel, explorer, hijack, hijackthis, icqtoolbar, internet, internet explorer, monitor, nvidia, problem, programme, rundll, scan, server, software, spyware, system, temp, trojaner, urlsearchhook, windows, windows xp |
