Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: 010-Eintraege

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 31.01.2006, 13:06   #1
jule54
 
010-Eintraege - Standard

010-Eintraege



Hallo!
Ich bzw. mein Sohn hat sich etwas gefangen. Bevor ich den ganzen Logfile poste, möcht ich erst mal angeben, dass unter 010 viermal "Hijacked Internet access by New.Net" auftaucht. Ich bin ziemlich ahnungslos, entnehme aber der Anleitung, dass 010-Einträge nicht gefixt werden dürfen. Das LSP-Fixtool hat aber nichts bewirkt. Was kann ich tun? Vielen Dank schon mal.
jule54

Alt 31.01.2006, 13:11   #2
BataAlexander
> MalwareDB
 
010-Eintraege - Standard

010-Eintraege



Hallo,

poste uns das schöne Log doch kurz.

Gruß

Schrulli
__________________

__________________

Alt 31.01.2006, 14:01   #3
jule54
 
010-Eintraege - Standard

010-Eintraege



Danke! Ich wollte schon selbst eine Auswertung mit den genannten Seiten probieren, aber mit eurer gesammelten Kompetenz geht's bestimmt schneller und sicherer. Also, hier isser:

Logfile of HijackThis v1.99.1
Scan saved at 13:24:19, on 31.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\paytime.exe
C:\windows\winsysban4.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MediaBytePlayPart] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Send city media byte\bin view.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd4.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban4.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RealClose] C:\DOKUME~1\Jan\ANWEND~1\GLOBAL~1\Surf film once.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Registration DIE SIEDLER - Das Erbe der Könige Nebelreich.LNK = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\i2600cjmefoa0.dll (file missing)
O20 - Winlogon Notify: Run- - C:\WINDOWS\system32\l06o0aj3edo.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

lg
jule54
__________________

Alt 31.01.2006, 16:50   #4
jule54
 
010-Eintraege - Standard

010-Eintraege



habe vergessen die links unkenntlich zu machen

Alt 31.01.2006, 16:56   #5
Wildone
 
010-Eintraege - Standard

010-Eintraege



Hallo,
*Augen verdreh* Oh mein Gott da ist ja wirklich alles dabei was Spy/Adware mäßig einen Namen hat. Auf den ersten Blick sehe ich look2me, Spysheriff, new.net und Lop. Wie sehr hängst du eigentlich an deinem System weil ich dir da zu einer Neuinstallation und anschließenden gescheiten Absicherung raten würde, Anleitung hier.



Grüße Wildone


Alt 31.01.2006, 17:00   #6
jule54
 
010-Eintraege - Standard

010-Eintraege



Ist nicht meins, sondern von meinem 14jährigen Sohn, der hängt wahrscheinlich sehr daran!

Alt 31.01.2006, 17:06   #7
Wildone
 
010-Eintraege - Standard

010-Eintraege



Hallo,
also dann mach dein Sohn erstmal ordentlich zur Minna, den wer sich sein System voll mit unseriöser und geklauter Software macht soll sich nicht wundern wenn er sich einen Virus nach dem anderen fängt. Außerdem bin ich der Meinung das Früchtchen sollte die Suppe alleine auslöffeln dann sieht er mal wieviel Arbeit dahinter steckt, und beschäftigt sich vielleicht mal etwas mit der Absicherung seines Systems. Denn um das hier sauber zu bekommen (falls das überhaupt möglich ist) braucht es wahrscheinlich mehr Zeit als eine komlette Neuinstallation.


Grüße Wildone

Alt 31.01.2006, 17:18   #8
jule54
 
010-Eintraege - Standard

010-Eintraege



Hallo.
er fühlt sich sehr missverstanden und ist und meint, sich keine geklaute software runter zu laden, unseriöse vielleicht. Kann man an dem logfile sehen, welche software es ist, woran könnte ich es erkennen? Oder könntest du beispiele nennen?
Grüße
jule54

Alt 31.01.2006, 17:25   #9
Wildone
 
010-Eintraege - Standard

010-Eintraege



Hallo,
nein beim Namen nennen kann ich sie nicht, aber zwei der genannten Trojaner (Spysheriff und look2me) fängt man sich außschließlich auf Seiten die Cracks anbieten, oder beim installieren solcher Cracks(vielleicht auch cheats, bin nicht so der Spieler). Aber es ist müßig der Kerl soll nicht sauer sein, er sollte jetzt an deiner Stelle sitzen und sich mit mir unterhalten. Meinetwegen versuche ich das System wieder klar zu bekommen, habe ja sonst heute Abend nichts mehr vor , aber soll wenigstens er sich durch die gesammten Anleitungen für die Programme durcharbeiten die es braucht um das wieder einigermaßen hinzufrickeln, und nicht du, dann setzt vielleicht auch ein gewisser Lerneffekt ein.



Grüße Wildone

Alt 31.01.2006, 17:33   #10
felix1
/// Helfer-Team
 
010-Eintraege - Standard

010-Eintraege



Ich denke, dass eine Bereinigung nicht viel Sinn macht:
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
sollte das sein:
http://www.sophos.de/virusinfo/analy...ojtorpigs.html
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 31.01.2006, 17:42   #11
Wildone
 
010-Eintraege - Standard

010-Eintraege



Hallo,
@felix1
scheinst Recht zu haben, ich dachte zwar es wäre Torpig-U, und die Beschreibung von dem klang bedeutend harmloser, wird aber wohl einach nicht vollständig sein. Dann kehre ich wohl doch wieder zu dem Rat zurück eine komplette Neuinstallation durchzuführen, aber streng nach Anleitung sonst ist das System nach wenigen Wochen wieder total verseucht.


Grüße Wildone

Alt 31.01.2006, 17:42   #12
jule54
 
010-Eintraege - Standard

010-Eintraege



das ist ein supernettes angebot, aber er ist leider bis neun zum tischtennistraining. Ich habe das bisher von meinem rechner gepostet, weil ich ihn vom netz genommen habe.- Ab kurz nach neun hätte er noch ein Stündchen, bis er ins bett muss. Sonst würde es auch morgen nachmittag und abend gehen, was meinst du?
Tausend dank
jule54

Edit: ist wohl schon überholt!
Muss jetzt leider weg für 2 Std.

Geändert von jule54 (31.01.2006 um 17:47 Uhr)

Alt 31.01.2006, 17:50   #13
Wildone
 
010-Eintraege - Standard

010-Eintraege



Hallo,
wie oben schon mal gepostet, Aufgrund von dem oben genannten Trojaner scheint es mir einfach zu gefährlich eine manuelle Reinigung vorzunehmen, er speichert Tastenfolgen um an Passwörter heranzukommen (Ebay, Onlinebanking, Keys für Spiele...) und hat Kontakt per Http mit einem Remoteserver.
Ich würde dringend anraten das System neu aufzusetzen da ich nicht garantieren kann das ich alles finde und nicht doch noch ein Türchen nach draußen offen ist. Falls es mit der Anleitung zum Neuaufsetzen Probleme gibt stehe ich aber gerne zur Klärung dieser zur Verfügung.


Grüße Wildone

Alt 31.01.2006, 18:58   #14
BataAlexander
> MalwareDB
 
010-Eintraege - Standard

010-Eintraege



Hallo,

@Wildone & Felix1 : Zur Unterstützung Ack!

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 31.01.2006, 21:10   #15
jule54
 
010-Eintraege - Standard

010-Eintraege



Hallo!
Dann werden wir uns wohl an die Arbeit machen müssen! Bis hierhin erstmal herzlichen Dank, bei Bedarf, den wir sicher haben werden, melde ich mich wieder.
lg
jule54

Antwort

Themen zu 010-Eintraege
access, ahnungslos, anleitung, gefixt, hijacked, inter, interne, internet, leitung, logfile, möcht, nichts, poste, träge, vielen dank, ziemlich



Zum Thema 010-Eintraege - Hallo! Ich bzw. mein Sohn hat sich etwas gefangen. Bevor ich den ganzen Logfile poste, möcht ich erst mal angeben, dass unter 010 viermal "Hijacked Internet access by New.Net" auftaucht. - 010-Eintraege...
Archiv
Du betrachtest: 010-Eintraege auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.