Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bin durch Trojaner verseucht, HiJackThis-Log angegeben

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.03.2004, 19:50   #1
NeonE
 
Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Böse

Bin durch Trojaner verseucht, HiJackThis-Log angegeben



Hallo, hab schon Spybot, Adaware, CWShredder usw. drüberlaufen lassen, doch mein PC ist immer noch verseucht.
Das merke ich daran, dass beim Start des IE und auch während des laufenden IE, Werbung-Websites eingeblendet werden. Außerdem dauert das Hochfahren merklich länger, die Downloads für HiJacker etc. klappen nur per direkten Link und winlogon.exe versucht sich seit meinem Problem mit Internet und Netzwerk(meistens zur IP 192.168.0.100[Gateway]) zu verbinden.

Nun habe ich den HijackThis drüberlaufen gelassen, kann aber keinen eindeutigen "bösen" Eintrag trotz Internetrecherche feststellen.

Daher hier der HiJackThis-Log-File, hoffe ihr könnt mir helfen:

Logfile of HijackThis v1.97.7
Scan saved at 20:40:55, on 31.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\qttask.exe
C:\WINDOWS\Dit.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Steam\Steam.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\HPHipm11.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\system32\qttask.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [seaamgnj] C:\WINDOWS\System32\pugutfuy.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Subscribe in Desktop Sidebar (HKLM)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Preispiraten 2.02 (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4ADB1933-9EF7-4E0C-BECC-9C6B2B7159C0}: NameServer = 192.168.0.100

Alt 01.04.2004, 08:42   #2
Who Cares
 
Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Beitrag

Bin durch Trojaner verseucht, HiJackThis-Log angegeben



</font><blockquote>Zitat:</font><hr />Original erstellt von NeonE:

O4 - HKLM\..\Run: [seaamgnj] C:\WINDOWS\System32\pugutfuy.exe
</font>[/QUOTE]Verdächtig... mit KAV prüfen

Dein Startup ist völlg überladen !!!
Hast du einen Komplettscsan mit aktuellem AVPE gemacht ?

Auch lesen:
http://www.trojaner-board.de/51130-a...ijackthis.html


weitere Details/Links: Forensuche


also use onlinescanner from www.ravantivirus.com
remove found malware according to info on VGREP (see below) or google


Check the files listed in the Hijackthis-log with
http://www.sysinfo.org/startuplist.php (and search on Google)
and scan them with KAV (see below),
to see what's malicious or useless: fix those with hijackthis

Links and further details can be found via the board search or google

then scan again with HijackThis and post the NEW log here

__________________


Alt 01.04.2004, 09:47   #3
NeonE
 
Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Beitrag

Bin durch Trojaner verseucht, HiJackThis-Log angegeben



Ich kann pugutfuy.exe nicht im ordner c:/windows/system32/ finden, hab es aber aus dem Autorun gelöscht, Prob besteht jedoch weiterhin.

AVPE habe ich auch schon 2x drüberlaufen lassen, hatte auch in den Tempory Internet Files ordentlich was gefunden, worauf ich alles darin gelöscht habe, Prob besteht jedoch weiterhin.

ICh glaube kaum, dass die lange Hochladezeit durch den Startup verursacht wurde. Es daurt nämlich nicht, so lange wenn Windows schon komplett geladen ist, sondern während er anzeigt "Benutzereinstellungen werden geladen" (also nach Kennworteingaben).

ICh vermute dass ich mir den ganzen SCH*** bei www.ircspy.com geholt habe. [img]graemlins/headbang.gif[/img]

[ 01. April 2004, 11:16: Beitrag editiert von: NeonE ]
__________________

Alt 01.04.2004, 10:02   #4
Shadow
/// Mr. Schatten
 
Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Beitrag

Bin durch Trojaner verseucht, HiJackThis-Log angegeben



Wenn Du glaubst dass dein Link gefährlich ist, dann Entlinke ihn bitte!! Also Edit link löschen und als
hxxp://www.ircspy.com
schreiben!

</font><blockquote>Zitat:</font><hr />Original erstellt von NeonE:
ICh glaube kaum, dass die lange Hochladezeit durch den Startup verursacht wurde. Es daurt nämlich nicht, so lange wenn Windows schon komplett geladen ist, sondern während er anzeigt "Benutzereinstellungen werden geladen" (also nach Kennworteingaben).
</font>[/QUOTE]Natürlich! Im Startup gibt es Einstellung für jeden Nutzer und Einstellungen die Benutzerspezifisch geladen werden, bzw. Einstellungen für den Computer (absolut Nutzerunabhängig). Und nur Dienste die unter jedem Nutzer laufen sollen werden vorher geladen (Umkehrschluß ist nicht zulässig).
(kann, muß aber nicht)

Probier mal einen anderen Nutzer (Administrator, den gibt es sicher noch *bg*)
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 01.04.2004, 10:11   #5
Shadow
/// Mr. Schatten
 
Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Beitrag

Bin durch Trojaner verseucht, HiJackThis-Log angegeben



O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent brauchst Du dies? Dauert sicher... (ist wohl für Ego-Shooter ein Updatesucher, muss dies wirklich jedesmal geladen werden? [img]graemlins/headbang.gif[/img]

__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 01.04.2004, 10:14   #6
Lucky
/// Helfer-Team
 
Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Beitrag

Bin durch Trojaner verseucht, HiJackThis-Log angegeben



Steam ist von Valve und somit unter anderem für Counter Strike. Steam ist im eigentlichen Sinne kein reiner Updatesucher. Es ist auch der starter für CS und Co. Wenn man den aus dem Autostart rausnimmt, dann braucht es recht lange bis CS startet.

So waren meine Erfahrungen mit Einführung von Steam.

Björn
__________________
--> Bin durch Trojaner verseucht, HiJackThis-Log angegeben

Alt 01.04.2004, 10:14   #7
NeonE
 
Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Beitrag

Bin durch Trojaner verseucht, HiJackThis-Log angegeben



ich bin der einzige Nutzer hier auf dem system.

Zum Startup: Vorher(vor 2 Tagen) muss ich ja auch schon einen ziemlich überladenen Startup gehabt haben (steam und co waren schon immer drauf), da ging aber alles problos und schnell. Es kann nur durch den Trojaner/Virus verursacht worden sein, da diese Erscheinung gleichzeitig mit dieser beschi****** Werbeeinblendeung beim IE auftrat.

Alt 01.04.2004, 11:18   #8
Shadow
/// Mr. Schatten
 
Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Beitrag

Bin durch Trojaner verseucht, HiJackThis-Log angegeben



Nagut, kenne mich auch mit Spielen nicht aus [img]graemlins/heulen.gif[/img]
</font><blockquote>Zitat:</font><hr />Original erstellt von NeonE:
ich bin der einzige Nutzer hier auf dem system.
</font>[/QUOTE]Blödsinn
Das glaubst Du (noch) vielleicht!
Aber selbst wenn es so wäre, würde es an den von mir beschriebenen Tatsachen nichts ändern!
Es gibt Einstellungen die Sind Benutzerspezifisch und die werden eben erst NACH der Anmeldung geladen und es gibt nichtbenutzerspezifische Einstellungen! Und die können (müssen aber nicht) auch schon vorher geladen werden.

Wenn Du lesen könntest:
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Probier mal einen anderen Nutzer (Administrator, den gibt es sicher noch *bg*) </font>[/QUOTE]Nein Ich glaube Dir einfach nicht dass Du der einzige (angelegte) Benutzer bist *bg*
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 01.04.2004, 13:41   #9
BLACKDOG
 
Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Beitrag

Bin durch Trojaner verseucht, HiJackThis-Log angegeben



Hi,

bez. Steam im Autorun --&gt; aus meiner Erfahrung --&gt; führt zu einer erheblichen Verlangsamung bis das System ready ist.

Ich bin auch bekennender CSler und mein "verwalteter" Autostart umfasst 2 Programme -&gt; den Rest startet ich bei Bedarf.

greetz Blackdog
__________________
Think positiv - es wird Ihnen gehilft

Antwort

Themen zu Bin durch Trojaner verseucht, HiJackThis-Log angegeben
.exe, .inf, adobe, button, dateien, desktop, dll, drivers, explorer, hijackthis, icq, internet, internet explorer, link, links, logon.exe, meinem, messenger, microsoft, netzwerk, nvcpl.dll, object, problem, programme, rundll, shockwave, software, system, system32, tcpip, windows, windows messenger, windows xp, windows\system32\drivers, winlogon.exe



Ähnliche Themen: Bin durch Trojaner verseucht, HiJackThis-Log angegeben


  1. Win 7: beim Start kommt eine Fehlermeldung: Regsvr32 zum Registrieren eines Moduls muss der Name einer Binärdatei angegeben werden!
    Alles rund um Windows - 25.11.2017 (26)
  2. FF wird im Netz als Opera erkannt und als nicht funktionierend angegeben
    Plagegeister aller Art und deren Bekämpfung - 28.09.2014 (17)
  3. Win 7: beim Start kommt eine Fehlermeldung: Regsvr32 zum Registrieren eines Moduls muss der Name einer Binärdatei angegeben werden!
    Log-Analyse und Auswertung - 18.06.2014 (4)
  4. Phishing-Mail erhalten, auf Link geklickt und Daten angegeben
    Plagegeister aller Art und deren Bekämpfung - 05.02.2014 (26)
  5. Fehler: Das System kann den angegeben Pfad nicht finden | Avira
    Plagegeister aller Art und deren Bekämpfung - 25.05.2013 (2)
  6. HijackThis logfile - Malware durch foto.exe
    Log-Analyse und Auswertung - 19.12.2010 (16)
  7. Auslastung des Ps/Kontrolle durch Hijackthis
    Log-Analyse und Auswertung - 09.05.2010 (1)
  8. System verseucht durch sshnas.dll?
    Plagegeister aller Art und deren Bekämpfung - 04.01.2010 (1)
  9. HijackThis - verseucht?
    Log-Analyse und Auswertung - 20.05.2009 (4)
  10. Kaspersky CBE erkennt Virus. Pfad nicht angegeben!?
    Antiviren-, Firewall- und andere Schutzprogramme - 23.11.2008 (6)
  11. Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!
    Log-Analyse und Auswertung - 07.09.2008 (12)
  12. hab hier eine Hijackthis erstellt und leider blicke ich da nicht durch.
    Log-Analyse und Auswertung - 08.05.2008 (20)
  13. Würmer und Trojaner, HighjackThis Log angegeben
    Log-Analyse und Auswertung - 03.12.2006 (3)
  14. Logfile HijackThis bitte einmal prüfen ob verseucht
    Log-Analyse und Auswertung - 02.11.2005 (1)
  15. Bitte schaut einmal mein HijackThis und escan logfile durch!
    Log-Analyse und Auswertung - 12.06.2005 (2)
  16. Mein System ist verseucht, Hijackthis findet aber nichts?
    Log-Analyse und Auswertung - 28.01.2005 (15)
  17. Hijackthis läuft nicht durch
    Log-Analyse und Auswertung - 03.11.2004 (6)

Zum Thema Bin durch Trojaner verseucht, HiJackThis-Log angegeben - Hallo, hab schon Spybot, Adaware, CWShredder usw. drüberlaufen lassen, doch mein PC ist immer noch verseucht. Das merke ich daran, dass beim Start des IE und auch während des laufenden - Bin durch Trojaner verseucht, HiJackThis-Log angegeben...
Archiv
Du betrachtest: Bin durch Trojaner verseucht, HiJackThis-Log angegeben auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.