Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Befall->Hijack-Log

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.09.2006, 18:59   #1
Nordic
 
Trojaner Befall->Hijack-Log - Standard

Trojaner Befall->Hijack-Log



Hallo Zusammen,

durch einen sehr dummen Fehler meinerseits habe ich mir Trojaner auf meinen PC geladen. Nach der ersten Warnmeldung von Anti-Vir folgten noch drei weitere. Ich habe sofort meinen Rechner vom Inet getrennt, weil ich das Gefühl hatte das ständig neue Bakterien runtergeladen werden.

Was ich bisher getan habe:
Pc im abgesicherten Modus gestartet, Systemwiederherstellung ausgeschaltet und die aktuelle Version von S&D laufen lassen. Es wurden mehrere Probleme gefunden. Unter anderem Ucmore, Deskbar und Smitfraud-c. Diese habe ich dann löschen lassen. Ausserdem habe ich im abgesicherten Modus ccontrol das system prüfen lassen.

Das Problem ist jetzt das ständig im Firefox Werbepopus auftauchen, ironischerweise mit Werbung für Antivirenprogramme

Danach habe ich HijackThis scannen lassen.

Das Ergebnis könnt ihr hier sehen:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 19:23:36, on 19.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LtcyCfgApply] "E:\Programme\LtcyCfg2-[guru3d]\LtcyCfg.exe" /a
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e8.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e8.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h++p://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\enj6l11s1.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


Ich kann dem leider nichts auffälliges entnehmen und wäre sehr dankbar für eine Experten Analyse.

Geändert von Nordic (19.09.2006 um 19:06 Uhr)

Alt 19.09.2006, 20:22   #2
Nordic
 
Trojaner Befall->Hijack-Log - Standard

Trojaner Befall->Hijack-Log



Eigentlich wollte ich meinen ersten Beitrag editieren, komischerweise war aber kein editier button zu sehen?!
Aufjedenfall habe ich gerade nochmal AntiVirus laufen lassen. Es wurde kein Virus gefunden, dafür 42 Warnungen.

Zitat:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 19. September 2006 20:30

Es wird nach 504369 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ***
Computername: ****

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 19.09.2006 10:25:06
AVSCAN.DLL : 7.0.0.45 41000 19.09.2006 10:25:06
LUKE.DLL : 7.0.0.47 118824 19.09.2006 10:25:10
LUKERES.DLL : 7.0.0.47 9256 19.09.2006 10:25:10
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 17:11:47
ANTIVIR1.VDF : 6.36.0.9 1424384 06.09.2006 10:25:10
ANTIVIR2.VDF : 6.36.0.14 122368 13.09.2006 10:25:10
ANTIVIR3.VDF : 6.36.0.38 44544 19.09.2006 10:25:10
AVEWIN32.DLL : 7.2.0.16 1835520 19.09.2006 10:25:11
AVPREF.DLL : 7.0.0.2 23080 19.09.2006 10:25:06
AVREP.DLL : 6.36.0.5 806952 19.09.2006 10:25:11
AVRPBASE.DLL : 7.0.0.0 2162728 10.05.2006 20:11:56
AVPACK32.DLL : 7.2.0.0 368680 19.09.2006 10:25:11
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 7.0.0.0 9768 19.09.2006 10:25:10
RCIMAGE.DLL : 7.0.0.74 1642536 19.09.2006 10:25:03
RCTEXT.DLL : 7.0.0.107 77864 19.09.2006 10:25:03

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: C,D,E,F
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Dienstag, 19. September 2006 20:30


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 21 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 21 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Mozilla\Firefox\Profiles\nfc6b956.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n**\call256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n***\chat512.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n***\chatmsg1024.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n***\chatmsg16384.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n***\chatmsg2048.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n***\chatmsg256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n***\chatmsg512.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n**\contactgroup256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n\index2.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n\profile4096.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n\transfer256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n\transfer512.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n\user1024.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n\user16384.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n\user4096.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Anwendungsdaten\Skype\n\voicemail256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\P\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\hrn4055qe.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\mv48l9hu1.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\sam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\security
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 19. September 2006 21:13
Benötigte Zeit: 42:53 min

Der Suchlauf wurde vollständig durchgeführt.

11430 Verzeichnisse wurden überprüft
334322 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
7141 Archive wurden durchsucht
42 Warnungen
0 Hinweise
__________________


Alt 19.09.2006, 22:07   #3
Mellosun
 
Trojaner Befall->Hijack-Log - Standard

Trojaner Befall->Hijack-Log



Hallo Nordic,

dein Hijacktis Log, wurde das im Abgesicherten Modus erstellt?

Folgende Datei bitte mal bei Jotti und Virustotal Prüfen lassen:

C:\WINDOWS\system32\enj6l11s1.dll

Ist Dir das bekannt?

"E:\Programme\LtcyCfg2-[guru3d]\LtcyCfg.exe" /a

Ansonsten bitte auch Prüfen lassen.
Link in meiner SIG. Poste das gesamte Ergebnis, einschließlich der dort angegebenen Größe!


Gruß Mellosun
__________________
__________________

Alt 19.09.2006, 23:05   #4
Nordic
 
Trojaner Befall->Hijack-Log - Standard

Trojaner Befall->Hijack-Log



Zitat:
Zitat von Mellosun
Hallo Nordic,

dein Hijacktis Log, wurde das im Abgesicherten Modus erstellt?
Ja- Abgesicherter Modus.

Zitat:
Folgende Datei bitte mal bei Jotti und Virustotal Prüfen lassen:

C:\WINDOWS\system32\enj6l11s1.dll
Ich konnte die Datei nicht finden. Auch nachdem ich die Tips in deiner Signatur angewendet habe wurde nichts gefunden.

Zitat:
Ist Dir das bekannt?

"E:\Programme\LtcyCfg2-[guru3d]\LtcyCfg.exe" /a

Ansonsten bitte auch Prüfen lassen.
Link in meiner SIG. Poste das gesamte Ergebnis, einschließlich der dort angegebenen Größe!

Gruß Mellosun
Ja, das Programm ist bekannt

Aktuell ist gerade beim schreiben in der Taskleiste wieder die Suchleiste (Plugin in der Taskleiste) von der Spyware erschienen. Ich war davon ausgegangen, das Spybot diese gelöscht hatte.

Alt 20.09.2006, 18:09   #5
Nordic
 
Trojaner Befall->Hijack-Log - Standard

Trojaner Befall->Hijack-Log



Nachdem ich gestern davon ausgegangen bin, das das meiste von S&D gelöscht worden ist, hat ein heutiger Scan folgendes Ergebnis gebracht:
http://www.directupload.net/show/d/826/CmvD9Uu9.jpg

Das sind so gut wie die gleichen von gestern.

Dazu nochmal ein neuer Hijack Log File,nachdem ich mit S&D die Einträge gelöscht habe:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 19:13:32, on 20.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Saitek\Software\ProfilerU.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\dfndrff_e8.exe
C:\kybrdff_e8.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\R******\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LtcyCfgApply] "E:\Programme\LtcyCfg2-[guru3d]\LtcyCfg.exe" /a
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e8.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e8.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: R***** Cisco VPN Client.lnk = C:\ProgrammeR******\Cisco VPN Client\vpngui.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\q6nulg5916.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Aufgefallen ist mir, das die Datei "enj6l11s1.dll" ihren Namen geändert hat auf "O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\q6nulg5916.dll"


Geändert von Nordic (20.09.2006 um 18:19 Uhr)

Alt 20.09.2006, 18:16   #6
Sunny
Administrator
> Competence Manager
 

Trojaner Befall->Hijack-Log - Standard

Trojaner Befall->Hijack-Log



Zitat:
Zitat von Nordic
Nachdem ich gestern davon ausgegangen bin, das das meiste von S&D gelöscht worden ist, hat ein heutiger Scan folgendes Ergebnis gebracht:
http://www.directupload.net/show/d/826/CmvD9Uu9.jpg

Das sind so gut wie die gleichen von gestern.

Dazu nochmal ein neuer Hijack Log File,nachdem ich mit S&D die Einträge gelöscht habe:
Hallo,

poste bitte nochmal ein neues Hijacklog, es wurde schon viel verändert, mal sehen was ich noch finde...

Gruß
Sunny
__________________
--> Trojaner Befall->Hijack-Log

Alt 20.09.2006, 18:21   #7
Nordic
 
Trojaner Befall->Hijack-Log - Standard

Trojaner Befall->Hijack-Log



Du meinst jetzt nochmal ein neues? Naja, schaden kann es ja nicht

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 19:20:11, on 20.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Saitek\Software\ProfilerU.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\dfndrff_e8.exe
C:\kybrdff_e8.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LtcyCfgApply] "E:\Programme\LtcyCfg2-[guru3d]\LtcyCfg.exe" /a
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e8.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e8.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\q6nulg5916.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Alt 20.09.2006, 21:33   #8
Nordic
 
Trojaner Befall->Hijack-Log - Standard

Trojaner Befall->Hijack-Log



sooo, ich habe mir jetzt auf gut Glück look2me heruntergeladen, das Programm nach Anleitung ausgeführt und siehe da: es wurden die meisten Files gelöscht. Seitdem habe ich nur noch ein Popup Fenster von firstadsolution. Das taucht in unregelmässigen Abständen auf (Firefox).

Wie sind die weiteren Schritte?

Anbei nochmal ein Log file von look2me, ein Smitfraudfix Log (noch nichts damit gelöscht) und ein Hijack Log, nachdem look2me die Dateien entfernt hatte:

Zitat:
Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 20.9.2006 21:57:26

Infected! C:\WINDOWS\system32\q6nulg5916.dll
Infected! C:\WINDOWS\system32\kwdno.dll
Infected! C:\WINDOWS\system32\q6nulg5916.dll
Infected! C:\WINDOWS\system32\sisvcs.dll
Infected! C:\WINDOWS\system32\snlwoa.dll
Infected! C:\WINDOWS\system32\t88ulil918q.dll
Infected! C:\WINDOWS\system32\uylmon.dll

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\q6nulg5916.dll
C:\WINDOWS\system32\q6nulg5916.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\kwdno.dll
C:\WINDOWS\system32\kwdno.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\q6nulg5916.dll
C:\WINDOWS\system32\q6nulg5916.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\sisvcs.dll
C:\WINDOWS\system32\sisvcs.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\snlwoa.dll
C:\WINDOWS\system32\snlwoa.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\t88ulil918q.dll
C:\WINDOWS\system32\t88ulil918q.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\uylmon.dll
C:\WINDOWS\system32\uylmon.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SharedDLLs

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B5FF508A-D390-468D-A377-983EC3A141C2}"
HKCR\Clsid\{B5FF508A-D390-468D-A377-983EC3A141C2}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B06A978A-1595-4496-B18D-D43F1E6596D2}"
HKCR\Clsid\{B06A978A-1595-4496-B18D-D43F1E6596D2}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{12B23D5F-CBC4-48EA-A5EC-25A7E7AD56D4}"
HKCR\Clsid\{12B23D5F-CBC4-48EA-A5EC-25A7E7AD56D4}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{FCD52713-7ED3-46A2-ABBC-353953EB2B88}"
HKCR\Clsid\{FCD52713-7ED3-46A2-ABBC-353953EB2B88}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded

Zitat:
SmitFraudFix v2.95

Scan done at 22:39:51,73, 20.09.2006
Run from C:\Dokumente und Einstellungen\****\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\keyboard1.dat FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\****\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\****\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 22:28:29, on 20.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Saitek\Software\ProfilerU.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\dfndrff_e8.exe
C:\kybrdff_e8.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LtcyCfgApply] "E:\Programme\LtcyCfg2-[guru3d]\LtcyCfg.exe" /a
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e8.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e8.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Geändert von Nordic (20.09.2006 um 21:42 Uhr)

Alt 29.09.2006, 10:03   #9
Nordic
 
Trojaner Befall->Hijack-Log - Standard

Trojaner Befall->Hijack-Log



kleines finales update.

hab winxp neuinstalliert und danach ein image für fälle dieser art erstellt.

danke für die hilfe

Antwort

Themen zu Trojaner Befall->Hijack-Log
abgesicherten modus, adobe, avg, avgnt, avgnt.exe, avira, cisco vpn, defender, dll, ellung, excel, explorer, fehler, firefox, google, helper, hijack, hijackthis, internet, internet explorer, logfile, mehrere, programme, prüfen, rundll, scan, skype.exe, software, trojaner, tuneup utilities, werbung, windows, windows xp



Ähnliche Themen: Trojaner Befall->Hijack-Log


  1. Gvu Trojaner Befall mit cam
    Log-Analyse und Auswertung - 05.12.2012 (2)
  2. Befall mit GVU Trojaner
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (12)
  3. SUISA-Trojaner (Verschlüsselungs-Trojaner) befall auf HP-Pro-Laptop Win7 64Bit
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (19)
  4. Alle Dateien versteckt - Befall mit "trojan.fasagent" und "PUM.Hijack.StartMenu"
    Log-Analyse und Auswertung - 09.07.2012 (29)
  5. Conficker-Befall: Pum.hijack.system.hidden...
    Log-Analyse und Auswertung - 28.12.2010 (1)
  6. Viren Hijack.Regedit und Hijack.TaskManager: Wie beheben?
    Log-Analyse und Auswertung - 14.11.2010 (5)
  7. Trojaner Befall?
    Log-Analyse und Auswertung - 04.02.2010 (1)
  8. Trojaner vundo Befall: firefox zeigt nur weiße Seite an + weitere Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.01.2010 (6)
  9. Hijack this logfile bitte angucken aufgrund von maleware befall
    Log-Analyse und Auswertung - 24.09.2009 (1)
  10. IE und Antivir funktioniert nicht - Security.Hijack und Hijack.ControlPanelStyle
    Log-Analyse und Auswertung - 25.07.2009 (37)
  11. Befall durch TR/Hijack.AE
    Plagegeister aller Art und deren Bekämpfung - 28.11.2008 (12)
  12. HiJack Log und mehr wegen Trojaner Warnung nach Antispyware2008 befall
    Log-Analyse und Auswertung - 03.09.2008 (2)
  13. Virus/Spyware befall, was soll ich tun? (HiJack Log)
    Mülltonne - 11.08.2008 (0)
  14. Rechner nach Zlob Befall: Kasparsky Log + HiJack This Log
    Log-Analyse und Auswertung - 17.02.2008 (1)
  15. Viren Befall - Bitte um Hilfe bei EScan/HiJack Auswertung!
    Log-Analyse und Auswertung - 27.07.2007 (3)
  16. Trojaner-Befall - Hijack This Log
    Log-Analyse und Auswertung - 02.10.2006 (5)
  17. Nach Trojaner-Befall und Säuberung mit eScan, asquared, xoftspy,... mein Hijack Log
    Log-Analyse und Auswertung - 24.10.2005 (4)

Zum Thema Trojaner Befall->Hijack-Log - Hallo Zusammen, durch einen sehr dummen Fehler meinerseits habe ich mir Trojaner auf meinen PC geladen. Nach der ersten Warnmeldung von Anti-Vir folgten noch drei weitere. Ich habe sofort meinen - Trojaner Befall->Hijack-Log...
Archiv
Du betrachtest: Trojaner Befall->Hijack-Log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.