Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Wer kann man drübergucken

Wer kann man drübergucken


Log-Analyse und Auswertung: Wer kann man drübergucken

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 22.07.2006, 13:21   #1
Osirus
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Habe gerade die größte Trojaner- und Virenseuche hinter mir, die mir je passiert ist...
Bin gerade dabei die reste zu beseitigen...
Kann hier mal bitte einer, der sich auskennt, drüberschauen und mir sagen welche einträge ich fixen muss?

Ich hatte unter anderem das Problem das nach dem klicken auf Google erbnisse andere seiten geöffnet wurden. Scheint jetzt behoben zu sein...

Mit HijackThis habe ich noch nichts aufgeräumt, weil ich davon keinen plan habe.

Logfile of HijackThis v1.99.1
Scan saved at 14:13:19, on 22.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Nero\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Portrait Displays\forteManager\dtsslsrv.exe
D:\EPC\BHROOT\BIN\NT611SVC.EXE
D:\EPC\BHROOT\BIN\monitor.exe
D:\TIS\BIN\TbMux32.exe
C:\Programme\Portrait Displays\forteManager\DTSRVC.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\EPC\BHROOT\BIN\PORTMAP.EXE
C:\WINDOWS\System32\svchost.exe
D:\EPC\BHROOT\BIN\DBMANG.EXE
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ASUS\Probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Nero\InCD\InCD.exe
C:\Programme\WinPortrait\wpctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\icq\ICQPlus\vplus.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Portrait Displays\forteManager\dthtml.exe
C:\Programme\WinPortrait\floater.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\DOKUME~1\JENSRU~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R3 - URLSearchHook: (no name) - {AFF3BD45-EC21-5FF0-1CE5-306F0A2C4AE4} - msag.dll (file missing)
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - D:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] d:\Nero\InCD\InCD.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [browsebar] StatusCheck.exe
O4 - HKLM\..\Run: [corrida] NopeZ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [dmylp.exe] C:\WINDOWS\system32\dmylp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ Plus] "D:\icq\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [FLKPT] xwiz.exe
O4 - HKCU\..\Run: [avpmondll] XTermInit.exe
O4 - HKCU\..\Run: [_ctcp] AliceSD.exe
O4 - Startup: Adobe Reader Speed Launch.lnk = D:\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Startup: forteManager.lnk = C:\Programme\Portrait Displays\forteManager\dthtml.exe
O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Startup: MSWin.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: forteManager.lnk = C:\Programme\Portrait Displays\forteManager\dthtml.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MSWin.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E12DF2B-EA0A-4377-9AB8-22B3A4810FEF}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E1DFB4F-F0D8-4CC9-B61A-CC52F843D23F}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BDE493B-F786-4207-828E-9BCB02B41969}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CCS\Services\Tcpip\..\{B057F3EC-E7C8-4401-893B-88418D5FB812}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.104 85.255.112.229
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E12DF2B-EA0A-4377-9AB8-22B3A4810FEF}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.104 85.255.112.229
O23 - Service: Asset Management Daemon - Unknown owner - C:\Programme\Portrait Displays\forteManager\dtsslsrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: bh611 - Bell& Howell - D:\EPC\BHROOT\BIN\NT611SVC.EXE
O23 - Service: Bell & Howell Monitor Service (BHMonitorService) - Bell & Howell - D:\EPC\BHROOT\BIN\monitor.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - D:\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Norton Internet Security\comHost.exe
O23 - Service: COSIDS_TB - TransAction Software, D 81737 Munich - D:\TIS\BIN\TbMux32.exe
O23 - Service: Bell & Howell Database Manager (dbmang) - Bell & Howell - D:\EPC\BHROOT\BIN\DBMANG.EXE
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Portrait Displays\forteManager\DTSRVC.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - d:\Nero\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: ONC/RPC Portmapper (portmapper) - Bell & Howell - D:\EPC\BHROOT\BIN\PORTMAP.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - D:\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Alt 22.07.2006, 14:01   #2
Mellosun
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Mahlzeit,

könntest du uns mitteilen, welche Trojaner bei Dir wo gemeldet/gefunden wurden? Wie hast du diese entfernt?

Du hast eine nette Umleitung über die Ukraine drin.

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E12DF2B-EA0A-4377-9AB8-22B3A4810FEF}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E1DFB4F-F0D8-4CC9-B61A-CC52F843D23F}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BDE493B-F786-4207-828E-9BCB02B41969}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CCS\Services\Tcpip\..\{B057F3EC-E7C8-4401-893B-88418D5FB812}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.104 85.255.112.229 O17 - HKLM\System\CS1\Services\Tcpip\..\{0E12DF2B-EA0A-4377-9AB8-22B3A4810FEF}: NameServer = 85.255.116.104,85.255.112.229
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.104 85.255.112.229

Wenn ich mich net irre, dann sollte Dein System dringend neu aufgesetzt werden!



Ausserdem würde mich folgende Datei mal Interessieren:

C:\WINDOWS\system32\dmylp.exe

mal bitte bei Jotti und Virustotal auswerten lassen und das Ergebnis Posten ( auch wenn kein Virus gefunden wird, bitte das gesamte Ergebnis posten auch die größe der Datei). Link in meiner SIG!

All dies Einträge kommen mir mehr als merkwürdig vor:

O4 - HKLM\..\Run: [browsebar] StatusCheck.exe
O4 - HKLM\..\Run: [corrida] NopeZ.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe" O4 - HKCU\..\Run: [FLKPT] xwiz.exe
O4 - HKCU\..\Run: [avpmondll] XTermInit.exe
O4 - HKCU\..\Run: [_ctcp] AliceSD.exe
O4 - Startup: forteManager.lnk = C:\Programme\Portrait Displays\forteManager\dthtml.exe
O4 - Startup: MSWin.exe
O4 - Global Startup: forteManager.lnk = C:\Programme\Portrait Displays\forteManager\dthtml.exe
O4 - Global Startup: MSWin.exe


Gruß Mellosun
__________________

__________________
Alt 22.07.2006, 18:13   #3
Osirus
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Die Umleitung über die Ukraine habe ich rausgehauen

C:\WINDOWS\system32\dmylp.exe die liegt garnicht mehr auf dem laufwerk... kann sein das es noch altlasten sind...

O4 - HKLM\..\Run: [browsebar] StatusCheck.exe nicht auf dem HD gefunden - eintrag gelöscht

O4 - HKLM\..\Run: [corrida] NopeZ.exe nicht auf dem HD - eintrag gelöscht

O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe" nicht auf dem HD - eintrag gelöscht

O4 - HKCU\..\Run: [FLKPT] xwiz.exe nicht auf dem HD - eintrag gelöscht

O4 - HKCU\..\Run: [avpmondll] XTermInit.exe nicht auf dem HD - eintrag gelöscht

O4 - HKCU\..\Run: [_ctcp] AliceSD.exe nicht auf dem HD - eintrag gelöscht

O4 - Startup: forteManager.lnk = C:\Programme\Portrait Displays\forteManager\dthtml.exe gehört zu meinem Pivot TFT

O4 - Startup: MSWin.exe scheint nen trojaner zu sein - gelöscht

O4 - Global Startup: forteManager.lnk = C:\Programme\Portrait Displays\forteManager\dthtml.exe gehört zu meinem Pivot TFT

O4 - Global Startup: MSWin.exe scheint nen trojaner zu sein - gelöscht

MSWin.exe:

Die lag überigens stumpf im autostart ordner...

Antivirus Version Update Result
AntiVir 6.35.0.24 07.22.2006 HEUR/Crypted.Layered.B
Authentium 4.93.8 07.21.2006 no virus found
Avast 4.7.844.0 07.21.2006 no virus found
AVG 386 07.21.2006 no virus found
BitDefender 7.2 07.21.2006 Trojan.Alanchum.BM
CAT-QuickHeal 8.00 07.22.2006 Backdoor.Sdbot.gen
ClamAV devel-20060426 07.21.2006 no virus found
DrWeb 4.33 07.22.2006 Trojan.DownLoader.10953
eTrust-InoculateIT 23.72.75 07.21.2006 no virus found
eTrust-Vet 12.6.2305 07.21.2006 no virus found
Ewido 4.0 07.22.2006 no virus found
Fortinet 2.77.0.0 07.21.2006 suspicious
F-Prot 3.16f 07.21.2006 no virus found
F-Prot4 4.2.1.29 07.21.2006 no virus found
Ikarus 0.2.65.0 07.21.2006 no virus found
Kaspersky 4.0.2.24 07.22.2006 Trojan-Downloader.Win32.Murlo.dx
McAfee 4812 07.21.2006 no virus found
Microsoft 1.1508 07.22.2006 no virus found
NOD32v2 1.1674 07.22.2006 probably unknown NewHeur_PE virus
Norman 5.90.23 07.21.2006 no virus found
Panda 9.0.0.4 07.22.2006 Trj/Alanchum.BM
Sophos 4.07.0 07.22.2006 no virus found
Symantec 8.0 07.22.2006 no virus found
TheHacker 5.9.8.179 07.21.2006 no virus found
UNA 1.83 07.21.2006 no virus found
VBA32 3.11.0 07.21.2006 no virus found
VirusBuster 4.3.7:9 07.22.2006 no virus found


Aditional Information
File size: 20992 bytes
MD5: f3aaad825db8a5a921d7d4290049ac8e
SHA1: 625e1d9d18224ef8ae57e13b15083755ad3c99e6
packers: Aspack
__________________
Geändert von Osirus (22.07.2006 um 18:21 Uhr)

Alt 22.07.2006, 18:19   #4
Osirus
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Was das genau alles war bei mir kann ich nicht sagen, ich habe das Problem erst mi FreeAVG, dann mit Kasparsky onlinescanner und dann mit Norton 2006 und adaware bekämpft, dann habe ich da noch Spybot search&destroy drübergejagt. Achja und F-Secure BlackLight ist auch noch zum einsatz gekommen...

Soweit es ging im abgesicherten modus und alles mit lankabel ausgesteckt

DU hast wohl recht, wird zeit das ich die kiste mal wieder platt mache... mal gucken ob ich die wochen lust habe...

Wichtig ist erstmal das die kiste wieder sauber ist, egal ob sie dann nurnoch auf krücken läuft



Hier mal nen neuer Report:

Logfile of HijackThis v1.99.1
Scan saved at 19:12:02, on 22.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Nero\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Portrait Displays\forteManager\dtsslsrv.exe
D:\EPC\BHROOT\BIN\NT611SVC.EXE
D:\EPC\BHROOT\BIN\monitor.exe
D:\TIS\BIN\TbMux32.exe
C:\Programme\Portrait Displays\forteManager\DTSRVC.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\EPC\BHROOT\BIN\PORTMAP.EXE
C:\WINDOWS\System32\svchost.exe
D:\EPC\BHROOT\BIN\DBMANG.EXE
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ASUS\Probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Nero\InCD\InCD.exe
C:\Programme\WinPortrait\wpctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\icq\ICQPlus\vplus.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Portrait Displays\forteManager\dthtml.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinPortrait\floater.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\DOKUME~1\JENSRU~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R3 - URLSearchHook: (no name) - {AFF3BD45-EC21-5FF0-1CE5-306F0A2C4AE4} - msag.dll (file missing)
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - D:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] d:\Nero\InCD\InCD.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ Plus] "D:\icq\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Startup: Adobe Reader Speed Launch.lnk = D:\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Startup: forteManager.lnk = C:\Programme\Portrait Displays\forteManager\dthtml.exe
O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: forteManager.lnk = C:\Programme\Portrait Displays\forteManager\dthtml.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O23 - Service: Asset Management Daemon - Unknown owner - C:\Programme\Portrait Displays\forteManager\dtsslsrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: bh611 - Bell& Howell - D:\EPC\BHROOT\BIN\NT611SVC.EXE
O23 - Service: Bell & Howell Monitor Service (BHMonitorService) - Bell & Howell - D:\EPC\BHROOT\BIN\monitor.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - D:\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Norton Internet Security\comHost.exe
O23 - Service: COSIDS_TB - TransAction Software, D 81737 Munich - D:\TIS\BIN\TbMux32.exe
O23 - Service: Bell & Howell Database Manager (dbmang) - Bell & Howell - D:\EPC\BHROOT\BIN\DBMANG.EXE
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Portrait Displays\forteManager\DTSRVC.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - d:\Nero\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: ONC/RPC Portmapper (portmapper) - Bell & Howell - D:\EPC\BHROOT\BIN\PORTMAP.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - D:\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Alt 22.07.2006, 18:26   #5
Mellosun
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Zitat:
Zitat von Osirus

C:\WINDOWS\system32\dmylp.exe die liegt garnicht mehr auf dem laufwerk... kann sein das es noch altlasten sind...
O4 - HKLM\..\Run: [browsebar] StatusCheck.exe nicht auf dem HD gefunden - eintrag gelöscht
O4 - HKLM\..\Run: [corrida] NopeZ.exe nicht auf dem HD - eintrag gelöscht
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe" nicht auf dem HD - eintrag gelöscht
O4 - HKCU\..\Run: [FLKPT] xwiz.exe nicht auf dem HD - eintrag gelöscht
O4 - HKCU\..\Run: [avpmondll] XTermInit.exe nicht auf dem HD - eintrag gelöscht
O4 - HKCU\..\Run: [_ctcp] AliceSD.exe nicht auf dem HD - eintrag gelöscht

Hast du auch alle Datein sichtbar gemacht? Wenn die im HIJacktis auftauchen, sollten die auch vorhanden sein! Dateien sichtbar machen: klick hier


Zitat:
Zitat von Osirus
MSWin.exe:

Antivirus Version Update Result
AntiVir 6.35.0.24 07.22.2006 HEUR/Crypted.Layered.B
Authentium 4.93.8 07.21.2006 no virus found
Avast 4.7.844.0 07.21.2006 no virus found
AVG 386 07.21.2006 no virus found
BitDefender 7.2 07.21.2006 Trojan.Alanchum.BM
CAT-QuickHeal 8.00 07.22.2006 Backdoor.Sdbot.gen
ClamAV devel-20060426 07.21.2006 no virus found
DrWeb 4.33 07.22.2006 Trojan.DownLoader.10953
eTrust-InoculateIT 23.72.75 07.21.2006 no virus found
eTrust-Vet 12.6.2305 07.21.2006 no virus found
Ewido 4.0 07.22.2006 no virus found
Fortinet 2.77.0.0 07.21.2006 suspicious
F-Prot 3.16f 07.21.2006 no virus found
F-Prot4 4.2.1.29 07.21.2006 no virus found
Ikarus 0.2.65.0 07.21.2006 no virus found
Kaspersky 4.0.2.24 07.22.2006 Trojan-Downloader.Win32.Murlo.dx
McAfee 4812 07.21.2006 no virus found
Microsoft 1.1508 07.22.2006 no virus found
NOD32v2 1.1674 07.22.2006 probably unknown NewHeur_PE virus
Norman 5.90.23 07.21.2006 no virus found
Panda 9.0.0.4 07.22.2006 Trj/Alanchum.BM
Sophos 4.07.0 07.22.2006 no virus found
Symantec 8.0 07.22.2006 no virus found
TheHacker 5.9.8.179 07.21.2006 no virus found
UNA 1.83 07.21.2006 no virus found
VBA32 3.11.0 07.21.2006 no virus found
VirusBuster 4.3.7:9 07.22.2006 no virus found


Aditional Information
File size: 20992 bytes
MD5: f3aaad825db8a5a921d7d4290049ac8e
SHA1: 625e1d9d18224ef8ae57e13b15083755ad3c99e6
packers: Aspack
Klingt nicht gut:
Backdoor.Sdbot.gen .

Schau mal, ob du die anderen Datein doch noch findest.
Würde Dir eigentlich ne Neuinstallation empfehlen. Kannst aber noch nen eScan zur Sicherheit machen!
Lese Dir die Anleitung genau durch und Poste die entprechend gewünschte Log Datei!


Gruß Mellosun


Alt 22.07.2006, 18:39   #6
Osirus
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Also ich sollte vielleicht noch erwähnen das ich hinter nem Netgear DG834GTB sitze. also ne hardwarefirewall habe...
ich hoffe das schütz ein wenig?!

ich habe mit der windows suchfunktion mit haken vor "versteckte elemente durchsuchen" gemacht also wie in deinem link

den haken bei systemdateien hatte ich...
habe sie mal wieder eingeblendet

Alt 22.07.2006, 18:42   #7
Osirus
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Wenn ich neustarte und die einträge dann nicht wieder im log auftauchen, heisst das dann, dass ruhe ist?

Alt 22.07.2006, 18:57   #8
Sunny
Administrator
> Competence Manager
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Zitat:
Zitat von Osirus
Wenn ich neustarte und die einträge dann nicht wieder im log auftauchen, heisst das dann, dass ruhe ist?
Nicht unbedingt!!!

Aber in deinem Fall, also was ich bis jetzt gelesen habe, gibt es nur noch den Weg der Neuinstallation! Alles andere ist Zwecklos und verschwendete Zeit...

Das sind bei dir einfach zuviele Faktoren die zusammenkommen. Lies dir den Link in meiner Signatur gut durch zum Thema: " Neuaufsetzen"

Sorry
Daniel
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 23.07.2006, 09:50   #9
Osirus
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Zitat:
Zitat von [Gc]Sunny
Nicht unbedingt!!!

Aber in deinem Fall, also was ich bis jetzt gelesen habe, gibt es nur noch den Weg der Neuinstallation! Alles andere ist Zwecklos und verschwendete Zeit...

Das sind bei dir einfach zuviele Faktoren die zusammenkommen. Lies dir den Link in meiner Signatur gut durch zum Thema: " Neuaufsetzen"

Sorry
Daniel
Dann werde ich das wohl mal angehen

nützt ja nix...

Dazu noch ne Frage, würde ihr WinXP oder Win2k vorziehen.
Bei mir läuft im moment noch meine erste WinXP installation, vorher war ich immer begeistertet Win2k nutzer.

Auf jeden Fall schonmal danke für euren fachkundigen Rat!

Alt 23.07.2006, 10:10   #10
Sunny
Administrator
> Competence Manager
 
Wer kann man drübergucken - Standard

Wer kann man drübergucken


Zitat:
Zitat von Osirus
Dazu noch ne Frage, würde ihr WinXP oder Win2k vorziehen.
Bei mir läuft im moment noch meine erste WinXP installation, vorher war ich immer begeistertet Win2k nutzer.
Es gibt sowohl positive als auch negative Vorzüge gegenüber beiden Betriebssystemen!
Ich an deiner Stelle würde doch XP vorziehen, schon alleine wegen des Supports von Microsoft! Da XP definitiv (noch) neuer ist als Win2k, wird es dementsprechend auch länger Sicherheitsupdates geben.

Vorteil von Win2k ist meiner Ansicht nach hauptsächlich der Leistungs"genuss". Das System ist längst nicht so über-lastet/-fordert wie mit XP. Gerade bei älteren Systemen ist Win2k von Vorteil..

Gruß
Daniel
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Wer kann man drübergucken
adobe, adobe reader, antivirus, bho, canon, dll, drivers, excel, explorer, google, helper, hijack, hijackthis, internet, internet explorer, internet security, nvidia, object, problem, programme, protection center, rundll, security, seiten, seiten geöffnet, settings manager, software, symantec, system, temp, träge, urlsearchhook, windows, windows xp


« Hilfe: Win32:Zlob-BN [Trj] - TROJANER!!! | Neulich Trojaner gelöscht-Ist noch was übrig? »

Ähnliche Themen: Wer kann man drübergucken


  1. Mein Rechner ist sehr sehr langsam, woran kann es liegen und was kann man dagegen tun?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2015 (27)
  2. kann mir jemand einen tip geben,was ich eventuell noch versuchen kann.
    Plagegeister aller Art und deren Bekämpfung - 12.08.2013 (3)
  3. Ich kann nicht auf meinen Desktop zugreifen Meldung Die Website kann nicht angezeigt werden
    Plagegeister aller Art und deren Bekämpfung - 07.08.2012 (1)
  4. Mehrere rote X; mal eben einmal drübergucken...
    Log-Analyse und Auswertung - 16.11.2010 (2)
  5. profis einmal drübergucken please
    Mülltonne - 09.08.2008 (3)
  6. PC beim Starten recht langsam. Bitte mal drübergucken
    Log-Analyse und Auswertung - 07.03.2008 (5)
  7. Wie kann Kann man den Virus W32/Zmist loswerden ?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2006 (5)
  8. HiJack This - Wer kann mir sagen wie ich das Ergebnis des Scan`s auswerten kann?
    Log-Analyse und Auswertung - 19.12.2005 (1)
  9. HILFE!! bitte mal drübergucken!
    Log-Analyse und Auswertung - 15.08.2005 (3)
  10. Wer kann helfen: Download.Trojan / ied.exe kann nicht gelöscht werden
    Plagegeister aller Art und deren Bekämpfung - 05.02.2005 (4)
  11. Winocx32.exe Wurm ? Kann nichts mehr öffnen ! Wer kann mir helfen ?
    Plagegeister aller Art und deren Bekämpfung - 20.06.2004 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Wer kann man drübergucken - Habe gerade die größte Trojaner- und Virenseuche hinter mir, die mir je passiert ist... Bin gerade dabei die reste zu beseitigen... Kann hier mal bitte einer, der sich auskennt, drüberschauen - Wer kann man drübergucken...
Archiv
Du betrachtest: Wer kann man drübergucken auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129