Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: hijacklog nach ps guard

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.09.2005, 19:58   #1
DrFummel
 
hijacklog nach ps guard - Standard

hijacklog nach ps guard



smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll Present!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll INFECTED!!

das ist der smitfiles log

der andere is hier:

Logfile of HijackThis v1.99.1
Scan saved at 20:37:36, on 09.09.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATLND.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\PRPCUI.EXE
C:\WINDOWS\VCONTROL.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\PROGRAMME\D-LINK\AIR USB UTILITY\AIRCFG.EXE
C:\PROGRAMME\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE
C:\WINDOWS\NTGS.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\SPYBOT\TEATIMER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - C:\WINDOWS\IPYF32.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NTGS.EXE] C:\WINDOWS\NTGS.EXE
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\TEMP\9084.TMP" /m
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [ATLND.EXE] C:\WINDOWS\SYSTEM\ATLND.EXE /s
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com


der escan ist riesig..guckn ob ich den gepostet krieg. der hat viele files erkannt aber auch viel geloescht, naja nachm reboot hat sich ps guard wieder automatisch installiert
thx 4 help schoma

€: was braucht ihr von dem mwav.log ? der ist 1mb gross -.-
der scan nachdem ich dieses tool geused habe war auch keine 3h lang sondern nur so 1min oder so..vielleciht liegt das an kleiner hd? (2gb)

Alt 09.09.2005, 20:12   #2
Chris14
 

hijacklog nach ps guard - Standard

hijacklog nach ps guard



ne escan hat absolut garnix gelöscht. das kann er in der freewareversion gar net.
das musst schon du manuell erledigen.

fixe erstmal diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - C:\WINDOWS\IPYF32.DLL
O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel.exe /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [NTGS.EXE] C:\WINDOWS\NTGS.EXE
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\TEMP\9084.TMP" /m
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [ATLND.EXE] C:\WINDOWS\SYSTEM\ATLND.EXE /s

lass die dateien
C:\WINDOWS\VCONTROL.EXE, C:\WINDOWS\hampanel.exe, C:\WINDOWS\SYSTEM\ATLND.EXE und C:\WINDOWS\NTGS.EXE bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.

-lade dir den Internet Explorer 6 runter
-installiere ihn aber nicht sondern entpacke ihn bequem nach C:\ (mit winzip oder winrar - einfach nur nach c:\ das verzeichnis das in dem archiv ist)

lösche diese dateien und ordner im abgesicherten modus:
C:\WINDOWS\xqndh.dll
C:\WINDOWS\IPYF32.DLL
C:\WINDOWS\VCONTROL.EXE
C:\WINDOWS\hampanel.exe
C:\WINDOWS\NTGS.EXE
C:\WINDOWS\TEMP\9084.TMP
C:\Programme\PSGuard
C:\WINDOWS\SYSTEM\ATLND.EXE


dann ersetze die wininet.dll:
-start -> ausführen -> command
-cd .. eingeben
-cd .. eingeben
-cd .. eingeben (damit du auf c: bist)
-dann cd ie6sp1 eingeben
-gebe extract /a /e ie_s2.cab *.cab ein
-gebe extract /a /e ie_s3.cab *.cab ein
-gebe extract /a /e ie_2.cab wininet.dll ein
-start -> ausführen -> notepad -> OK
-gebe copy c:\ie6sp1\wininet.dll c:\windows\system ins leere textfeld ein
-datei -> speichern unter -> (ordner c:\windows\command auswählen) datei cmdinit.bat nennen -> dateityp: Alle dateien -> Speichern
Neustart
beim neustart wird warscheinlich dann kurz unterbrochen mit einer meldung, dass die datei bereits existiere. mit J bestätigen.
dann die datei cmdinit.bat löschen

deaktiviere die systemwiederherstellung im abgesicherten modus (rechtsklick arbeitsplatz, eigenschaften, dateisystem,erweitert,fehlerbehebung,systemwiederherstellung auf allen laufwerken deaktivieren haken hin)


anschließend führe die Smitfraud-C Anleitung durch.

anschließend eScan gemäß der Anleitung ausführen.

neues HJT-Logfile posten.

Ich weiß hört sich wie eine unschaffbare herausforderung an - ist aber sehr einfach
__________________


Antwort

Themen zu hijacklog nach ps guard
asus, bho, c:\windows\temp, escan, explorer, hijack, hijackthis, icons, icq, infected, internet, internet explorer, log, messenger, microsoft, msn, msn messenger, programme, registry, rundll, rundll32.exe, software, system, temp, urlsearchhook, usb, windows, windows\temp



Ähnliche Themen: hijacklog nach ps guard


  1. guard-search.com bzw. Guard Search entfernen
    Anleitungen, FAQs & Links - 22.10.2014 (2)
  2. temporärer benutzer nach Smart Guard Löschung
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (3)
  3. Keine Verbindung zu iTunes, Avira Guard, Windows Updates nach Sirefef.CH-Bekämpfung
    Plagegeister aller Art und deren Bekämpfung - 09.01.2012 (9)
  4. 'EXP/Pidief.SZ.3' gefunden im Anitvir Guard & Web Guard
    Plagegeister aller Art und deren Bekämpfung - 08.09.2011 (11)
  5. Hijacklog :) was nun ?
    Log-Analyse und Auswertung - 24.06.2010 (1)
  6. HiJackLog Zwingo
    Log-Analyse und Auswertung - 08.10.2009 (14)
  7. HiJacklog nach Backdoor bitte mal anschauen!
    Log-Analyse und Auswertung - 16.05.2009 (3)
  8. Antivir nach Hochfahren: Guard - Dienst gestoppt
    Antiviren-, Firewall- und andere Schutzprogramme - 14.12.2008 (0)
  9. Hijacklog
    Mülltonne - 11.11.2008 (0)
  10. Hijacklog
    Mülltonne - 24.01.2008 (0)
  11. hijacklog nach trojanerbeseitigung
    Log-Analyse und Auswertung - 08.07.2007 (9)
  12. Nach Panda Antivir Testversion Installation Müll im Hijacklog
    Log-Analyse und Auswertung - 16.02.2007 (4)
  13. HiJackLog und Wurm
    Log-Analyse und Auswertung - 15.04.2006 (6)
  14. wiedermal HijackLog
    Log-Analyse und Auswertung - 27.11.2005 (2)
  15. HijackLog-New.net-Problem
    Log-Analyse und Auswertung - 16.08.2005 (1)
  16. Hijacklog
    Log-Analyse und Auswertung - 26.05.2005 (1)
  17. hijacklog wie schlim is es
    Log-Analyse und Auswertung - 23.05.2005 (5)

Zum Thema hijacklog nach ps guard - smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system folder ~~~ oleext.dll ~~~ Icons in system - hijacklog nach ps guard...
Archiv
Du betrachtest: hijacklog nach ps guard auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.