Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: brauche hilfe!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 29.01.2007, 14:55   #1
marc
 
brauche hilfe! - Standard

brauche hilfe!



hallo,

ich glaube mein cumpter ist ziemlich verspyt!Wenn ich zum Beispiel bei google etwas suchen möchte und dann auf den link klicke leitet er mich auf eine andere seite um oder neuerdings:wenn ich windows starte zeigt er mir irgendwas an mit einer datei testtestt.exe und wenn ich herunterfahre kommt immer Hidden Window und ich kann nur noch auf sofortbeenden drücken!

Was soll ich machen!Ist dieses "HiJackThis" ein Programm oder wie kann ich das nutzen?

Vielen Dank an alle die mir weiter helfen können

Gruß Marc

Alt 29.01.2007, 15:07   #2
joeyblack
 
brauche hilfe! - Standard

brauche hilfe!



Hallo marc,

HJT ist ein Analysetool. Das Ergebnis der Analyse wird im logfile gespeichert, das Du hierhin posten kannst (Bitte genau die Anweisungen lesen, notfalls ausdrucken !). Überprüfe es bitte gem. GUA´s Anweisung hinsichtlich privater Informationen und Verlinkungen.

Wenn Du dann Dein Problem möglichst genau geschildert hast (s. Cidre: Wie poste ich richtig) wird sich einer der "Profis" darum kümmern.

Grüße

Joeyblack
__________________________________________________________
Wer eine Frage stellt verpflichtet sich, der Antwort zuzuhören !
__________________


Alt 29.01.2007, 15:22   #3
marc
 
brauche hilfe! - Standard

brauche hilfe!



Hallo ich habe hier mal ein logfile gemacht:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\Spiele\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\testtestt.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Spiele\Programme\Steam\Steam.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Spiele\Programme\WinRAR.exe
C:\DOKUME~1\d\LOKALE~1\Temp\Rar$EX00.671\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Spiele\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\testtestt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Spiele\Programme\Steam\Steam.exe" -silent
O4 - Global Startup: SATARaid.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Programme\Party-Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Programme\Party-Poker\PartyPoker\RunApp.exe (file missing)
O16 - DPF: Win32 Classes -
O17 - HKLM\System\CCS\Services\Tcpip\..\{5286B244-B8C2-48A4-8FF3-3DE1243AF4AB}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{916FF643-752C-401D-B9CB-BA1544E03018}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{9190D614-1A51-429A-BE1A-1D1FD99A77AF}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFBBF4B-6C2A-444C-952C-BEAAD043461E}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.117 85.255.112.90
O17 - HKLM\System\CS1\Services\Tcpip\..\{5286B244-B8C2-48A4-8FF3-3DE1243AF4AB}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.117 85.255.112.90
O17 - HKLM\System\CS2\Services\Tcpip\..\{5286B244-B8C2-48A4-8FF3-3DE1243AF4AB}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.117 85.255.112.90
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe




Was sagt ihr dazu?Was soll ich jetzt machen!
__________________

Alt 29.01.2007, 15:45   #4
Sunny
Administrator
> Competence Manager
 

brauche hilfe! - Standard

brauche hilfe!



Hallo.

DNS-Einträge entfernen:


-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:


Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{5286B244-B8C2-48A4-8FF3-3DE1243AF4AB}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{916FF643-752C-401D-B9CB-BA1544E03018}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{9190D614-1A51-429A-BE1A-1D1FD99A77AF}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFBBF4B-6C2A-444C-952C-BEAAD043461E}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.117 85.255.112.90
O17 - HKLM\System\CS1\Services\Tcpip\..\{5286B244-B8C2-48A4-8FF3-3DE1243AF4AB}: NameServer = 85.255.113.117,85.255.112.90
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.117 85.255.112.90
O17 - HKLM\System\CS2\Services\Tcpip\..\{5286B244-B8C2-48A4-8FF3-3DE1243AF4AB}: NameServer = 85.255.113.117,85.255.112.90

Achtung:

Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

Anleitung SmitfraudFix:


Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Anleitung Avenger:


1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\System32\testtestt.exe
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Poste im Anschluss ein neues Hijacklog.

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 29.01.2007, 16:39   #5
marc
 
brauche hilfe! - Standard

brauche hilfe!



SmitFraudFix v2.137

Scan done at 16:39:20,59, 29.01.2007
Run from C:\Dokumente und Einstellungen\d\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\migicons.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\d


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\d\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\d\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Alt 29.01.2007, 16:45   #6
marc
 
brauche hilfe! - Standard

brauche hilfe!



Logfile of HijackThis v1.99.1
Scan saved at 16:44:58, on 29.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\Spiele\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Spiele\Programme\Steam\Steam.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Spiele\Programme\WinRAR.exe
C:\DOKUME~1\d\LOKALE~1\Temp\Rar$EX00.969\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Spiele\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\testtestt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Spiele\Programme\Steam\Steam.exe" -silent
O4 - Global Startup: SATARaid.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Programme\Party-Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Programme\Party-Poker\PartyPoker\RunApp.exe (file missing)
O16 - DPF: Win32 Classes -
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFBBF4B-6C2A-444C-952C-BEAAD043461E}: NameServer = 192.168.0.1
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Alt 29.01.2007, 16:46   #7
marc
 
brauche hilfe! - Standard

brauche hilfe!



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\irpousje

*******************

Script file located at: \??\C:\Program Files\pbfcusau.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\testtestt.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 29.01.2007, 16:47   #8
marc
 
brauche hilfe! - Standard

brauche hilfe!



Was muss ich jetzt machen?
Vielen Dank übrigens :-) !

Alt 29.01.2007, 17:17   #9
Sunny
Administrator
> Competence Manager
 

brauche hilfe! - Standard

brauche hilfe!



Wenn du alles abgearbeitet hast, erstell ein neues Hijacklog!

Gab es eigentlich im ersten Punkt der Anleitung Probleme mit dem Internet??

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 29.01.2007, 17:34   #10
marc
 
brauche hilfe! - Standard

brauche hilfe!



Also mein Internet ging ohne Probleme hier der log:

Logfile of HijackThis v1.99.1
Scan saved at 17:33:38, on 29.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\Spiele\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Spiele\Programme\Steam\Steam.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Spiele\Programme\WinRAR.exe
C:\DOKUME~1\d\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Spiele\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\testtestt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Spiele\Programme\Steam\Steam.exe" -silent
O4 - Global Startup: SATARaid.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Programme\Party-Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Programme\Party-Poker\PartyPoker\RunApp.exe (file missing)
O16 - DPF: Win32 Classes -
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFBBF4B-6C2A-444C-952C-BEAAD043461E}: NameServer = 192.168.0.1
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Alt 29.01.2007, 17:43   #11
Sunny
Administrator
> Competence Manager
 

brauche hilfe! - Standard

brauche hilfe!



Die ersten Probleme haben wir schonmal vernichtet.

Nun gehts weiter:


Registrierung durchsuchen:


-Erstell dir einen neuen Ordner in -> C.\Programme\Regsrch
-lade dir Regserch.zip in den vorher erstellten Ordner herunter
-entpacke das Programm auch in diesem Ordner
-starte das Tool -> Doppelklick auf „regsrch.vbs“ und suche nun nach folgendem Namen:
Zitat:
testt
-wenn etwas gefunden wurde, wird am Ende ein Editorfenster geöffnet,
poste den Inhalt des Textfiles ab und füge ihn in einen Beitrag ein.
(wurde nichts gefunden, bitte auch erwähnen!)


Fixe dann mit HijackThis folgende Einträge:


Zitat:
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\testtestt.exe
O16 - DPF: Win32 Classes -
Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\System32\testtestt.exe
C:\WINDOWS\system32\migicons.exe
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 29.01.2007, 18:03   #12
marc
 
brauche hilfe! - Standard

brauche hilfe!



REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "testt" 29.01.2007 18:02:31

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"="C:\\WINDOWS\\System32\\testtestt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\WDF API DLL\TestTraceGuid]

Alt 29.01.2007, 18:09   #13
marc
 
brauche hilfe! - Standard

brauche hilfe!



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wbomhtwl

*******************

Script file located at: \??\C:\WINDOWS\onlyyohe.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\testtestt.exe not found!
Deletion of file C:\WINDOWS\System32\testtestt.exe failed!

Could not process line:
C:\WINDOWS\System32\testtestt.exe
Status: 0xc0000034

File C:\WINDOWS\system32\migicons.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 29.01.2007, 18:11   #14
marc
 
brauche hilfe! - Standard

brauche hilfe!



Logfile of HijackThis v1.99.1
Scan saved at 18:10:59, on 29.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\Spiele\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Spiele\Programme\Steam\Steam.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Spiele\Programme\WinRAR.exe
C:\DOKUME~1\d\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Spiele\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Spiele\Programme\Steam\Steam.exe" -silent
O4 - Global Startup: SATARaid.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Programme\Party-Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Programme\Party-Poker\PartyPoker\RunApp.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFBBF4B-6C2A-444C-952C-BEAAD043461E}: NameServer = 192.168.0.1
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Alt 29.01.2007, 18:16   #15
marc
 
brauche hilfe! - Standard

brauche hilfe!



habe gerade eine fehlermeldung bekommen :
die datei \WINDOWS\Prefetch\IEXPLORE.EXE-2CA9778d.pf ist beschädigt oder nicht lesbar!

???

Antwort

Themen zu brauche hilfe!
andere, beenden, brauche, brauche hilfe, datei, drücke, glaube, google, helfen, hidden, hijack, hijackthis, hilfe!, klicke, leitet, link, nutze, nutzen, programm, seite, starte, suche, test, windows, ziemlich



Ähnliche Themen: brauche hilfe!


  1. Hilfe! GVU/BKA Trojaner eingefangen, ich brauche Hilfe dabei den Mist von meinem Lappi runter zu bekommen!
    Log-Analyse und Auswertung - 27.11.2012 (1)
  2. Brauche Hilfe :-(
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (1)
  3. Brauche Hilfe
    Log-Analyse und Auswertung - 06.08.2009 (15)
  4. Hilfe brauche schnelle hilfe
    Mülltonne - 19.10.2008 (0)
  5. please help with this, ich brauche hilfe
    Log-Analyse und Auswertung - 17.03.2008 (3)
  6. Bin neu und brauche Hilfe
    Mülltonne - 16.03.2008 (0)
  7. hilfe!! trojaner.w32.looksky brauche hilfe
    Mülltonne - 03.10.2007 (0)
  8. hilfe!! trojaner.w32.looksky brauche hilfe
    Plagegeister aller Art und deren Bekämpfung - 25.07.2007 (7)
  9. Hilfe! EXP/Agent.B Brauche dringent Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2006 (8)
  10. Brauche Hilfe mit W Lan!
    Netzwerk und Hardware - 15.08.2006 (3)
  11. Brauche Hilfe!!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 08.04.2006 (6)
  12. brauche hilfe
    Log-Analyse und Auswertung - 02.10.2005 (9)
  13. Brauche Hilfe...
    Log-Analyse und Auswertung - 13.06.2005 (3)
  14. Hilfe Rechner voll Spyware!! Brauche dringend HILFE!!!
    Log-Analyse und Auswertung - 03.03.2005 (1)
  15. Hilfe backdoor.agobot.vt brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 02.11.2004 (1)
  16. Ich brauche hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 06.05.2004 (1)
  17. Bin neu und brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 30.03.2004 (2)

Zum Thema brauche hilfe! - hallo, ich glaube mein cumpter ist ziemlich verspyt!Wenn ich zum Beispiel bei google etwas suchen möchte und dann auf den link klicke leitet er mich auf eine andere seite um - brauche hilfe!...
Archiv
Du betrachtest: brauche hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.