Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Böse Sache

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.11.2006, 12:11   #1
Shoe
 
Böse Sache - Standard

Böse Sache



Hallo erstmal,

ich habe mir, wie auch immer ein böses Teil eingefangen.
Weder mit Antivir, noch mit Spybot und Ad-Aware läßt es sich in den Griff bekommen. Meine Recherchen im Netz haben auch nichts Eindeutiges ergeben.

Beschreibung:

Der IE startet im Hintergrund. Er verbindet sich wie im Verlauf zu sehen ist mit Sexseiten. Es poppen immer kurz Fenster auf bzw. will sich ein Drive Cleaner 2006 downloaden und installieren.
Den IE gibts auch im Prefetch-Ordner, etwa in der Form: 165542070.EXE-35632966.pf
Dateien dieser Art werden immer wieder neu generiert.
Löschversuche von Registryeinträge oder dieser Prefetch Dateien bringen nichts.
Das Zeug stellt sich wieder her - auch ohne Neustart.

Spybot und Ad-Aware finden bei jedem Scan neue Spyware.

Hier mal mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:41:32, on 28.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
d:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
d:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
d:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nfsclnt.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SFU\NFS\Mapper\mapsvc.exe
C:\WINDOWS\system32\nfssvc.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\Programme\Grisoft\AVG Free\avgcc.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: C:\WINDOWS\system32\xpRecovery.dll - {8A5849B5-93F3-429D-FF34-660A2068897C} - C:\WINDOWS\system32\xpRecovery.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.5.1.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135610880859
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C39A35F7-D055-482B-9554-E61EA36CCCF4}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - d:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Es wäre toll wenn Ihr mir weiterhelfen könntet.

Gruß Shoe

Alt 28.11.2006, 19:08   #2
Shoe
 
Böse Sache - Standard

Böse Sache



Es wäre wirklich fein, wenn sich jemand der Sache mal annehmen würde.

Danke

Shoe
__________________


Alt 28.11.2006, 19:17   #3
Sunny
Administrator
> Competence Manager
 

Böse Sache - Standard

Böse Sache



Hallo.

1.) Downloade dir die Killbox, starte dann den Rechner im abgesicherten Modus und lösche mit der Killbox (Option "delete on reboot" ankilcken!) folgende Datei:

Zitat:
C:\WINDOWS\system32\xpRecovery.dll
Danach startet das System neu.

2.) Lass nun alle Programm nochmals durchlaufen.
(Spybot, Antivir, Ad-Aware!)

3.) Lies dir folgende Anleitung genau durch -> Anleitung eScan
Poste das Ergebnis des Scans mit Hilfe der "find.bat".

4.) Poste nochmals ein neues Hijacklog.

Gruß
Sunny
__________________
__________________

Alt 29.11.2006, 10:47   #4
Shoe
 
Böse Sache - Standard

Böse Sache



Hallo Sunny,

erst einmal Danke für Deine Bereitschaft zu helfen.

Die von Dir genannte Datei (C:\WINDOWS\system32\xpRecovery.dll) läßt sich weder von der Killbox, noch per Unlocker killen. Da hängen stets mehrere Prozesse bzw. Applikationen dran.

Fällt Dir da noch etwas ein ?

Gruß
Shoe

Antwort

Themen zu Böse Sache
ad-aware, adobe, alert, antivir, avg free, bho, computer, e-mail, excel, explorer, helper, hijack, hijackthis, immer wieder, internet, internet explorer, konvertieren, logfile, monitor, mysql server, pdf-datei, rundll, scan, server, software, system, temp, träge, tuneup utilities, windows, windows xp



Ähnliche Themen: Böse Sache


  1. Eine Sache Deinstaliert Laptop macht Probleme..
    Log-Analyse und Auswertung - 31.03.2015 (5)
  2. Super Sache, die Ihr da abzieht! :D
    Lob, Kritik und Wünsche - 08.06.2014 (0)
  3. Dumme Sache...
    Plagegeister aller Art und deren Bekämpfung - 12.03.2014 (3)
  4. In eigener Sache: Der Heise Zeitschriften Verlag und das Leistungsschutzrecht
    Nachrichten - 04.03.2013 (0)
  5. Hatte einen Virus drauf aber traue der sache nicht
    Plagegeister aller Art und deren Bekämpfung - 11.01.2010 (4)
  6. Schon wieder so 'ne komische Sache!
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (1)
  7. Hilfe - Trojaner auf meinem Pc! Fiese Sache!
    Plagegeister aller Art und deren Bekämpfung - 08.01.2008 (2)
  8. komische sache
    Log-Analyse und Auswertung - 15.10.2007 (0)
  9. Böse oder nicht Böse?!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2007 (1)
  10. Krasse Sache!
    Plagegeister aller Art und deren Bekämpfung - 28.06.2006 (6)
  11. TR/Agent.KT + TR/Lefeat.DLL1 Dolle Sache, das.
    Plagegeister aller Art und deren Bekämpfung - 24.02.2005 (3)
  12. internet seiten öffnen sich - ganz üble sache
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (4)
  13. Böse Sache - höfliche Bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 05.08.2003 (16)

Zum Thema Böse Sache - Hallo erstmal, ich habe mir, wie auch immer ein böses Teil eingefangen. Weder mit Antivir, noch mit Spybot und Ad-Aware läßt es sich in den Griff bekommen. Meine Recherchen im - Böse Sache...
Archiv
Du betrachtest: Böse Sache auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.