Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Debakel nach Netpumper-Installation

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.02.2007, 23:18   #1
thono
 
Debakel nach Netpumper-Installation - Standard

Debakel nach Netpumper-Installation



Hallo Experten,

nachdem ich ahnungsloserweise Netpumper gedownloaded und installiert hatte, geht bei mir gar nichts mehr. Mein System steht still! Im abgesicherten Modus habe ich schon diverse Scanner laufen lassen. Das System steht noch immer!!! Mein HiJack-Log sieh jetzt wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 00:17:48, on 06.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\NOACK~1.NOA\LOKALE~1\Temp\Rar$EX00.113\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.spiegel.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Vivisimo - {5538fb62-f725-4433-a965-91314e8d8e4d} - C:\Programme\Vivisimo\Toolbar\toolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PollDate] C:\DOKUME~1\NOACK~1.NOA\ANWEND~1\STOREP~1\Stupid Grid.exe
O4 - Startup: Stickies.lnk = C:\Programme\Thomas\Stickies\stickies.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hardcopy.lnk = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Vivisimo Meta-Search - res://C:\Programme\Vivisimo\Toolbar\toolbar1.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=www.nordit.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nit.de
O17 - HKLM\Software\..\Telephony: DomainName = nit.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A946081C-61EC-43EB-90AE-B54644F5EFF0}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nit.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nit.de
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\PCAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SAPLPD - Unknown owner - C:\WINDOWS\SRVANY.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Gibt es jemanden, der hier durchsteigt?

Herzlichen Dank für eine Info und Gruß.
ThoNo

Alt 06.02.2007, 09:37   #2
Cleriker
 
Debakel nach Netpumper-Installation - Standard

Debakel nach Netpumper-Installation



Hi,

arbeite bitte nach dieser Anleitung die Entfernung
des Swizzors ab.

Für dich ist folgender Eintrag relevant:
Zitat:
O4 - HKCU\..\Run: [PollDate] C:\DOKUME~1\NOACK~1.NOA\ANWEND~1\STOREP~1\Stupid Grid.exe
Poste im Anschluss ein weiteres LogFile

Edith: Ach...update dein System bitte anschießend auf SP2

mfg Cleriker
__________________


Alt 06.02.2007, 20:51   #3
thono
 
Debakel nach Netpumper-Installation - Standard

Debakel nach Netpumper-Installation



Hallo Cleriker,

vielen Dank für die schnelle Antwort.

Ich habe den Swizzor gem. Anleitung "bearbeitet". Zum Abschluß hat der Onlinescan bei Panda noch 8 Viren entdeckt und desinfiziert (leider ist meine Verbindung abgebrochen und ich habe keine Details dazu).
Nachdem ich meinen Rechner aber wieder "normal" gestartet habe musste ich feststellen, daß sich da immernoch nichts tut. Habe mal mit ganz viiiiiieeeeel
Wartezeit das HiJack-Log im "normalen" Modus erzeugt und nachfolgend dargestellt:

Logfile of HijackThis v1.99.1
Scan saved at 21:42:32, on 06.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Thomas\Stickies\stickies.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Apoint2K\Apntex.exe
C:\DOKUME~1\NOACK~1.NOA\LOKALE~1\Temp\Rar$EX08.649\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.nordit.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://nitproxy:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Vivisimo - {5538fb62-f725-4433-a965-91314e8d8e4d} - C:\Programme\Vivisimo\Toolbar\toolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Stickies.lnk = C:\Programme\Thomas\Stickies\stickies.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hardcopy.lnk = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Vivisimo Meta-Search - res://C:\Programme\Vivisimo\Toolbar\toolbar1.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=www.nordit.de
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nit.de
O17 - HKLM\Software\..\Telephony: DomainName = nit.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A946081C-61EC-43EB-90AE-B54644F5EFF0}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nit.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nit.de
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\PCAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SAPLPD - Unknown owner - C:\WINDOWS\SRVANY.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Kannst Du noch was feststellen?

Vielen Dank für Deine Mühe,
thono
__________________

Alt 06.02.2007, 20:55   #4
Sunny
Administrator
> Competence Manager
 

Debakel nach Netpumper-Installation - Standard

Debakel nach Netpumper-Installation



Hallo.

Was mir an deinem Logfile auffällt, ist die deaktivierte Registrierung:

Zitat:
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Ich kenne wenige Programme die das tun, meistens verstecken sich dort Schädlinge dahinter. Mach daher mal folgendes:
Oder warst du das selbst?


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 15.02.2007, 20:02   #5
thono
 
Debakel nach Netpumper-Installation - Standard

Debakel nach Netpumper-Installation



Hallo Sunny,

vielen Dank. Mein Rechner ist wieder sauber - er rennt wieder wie verrückt.

Herzlichen Dank nochmal!

thono


Antwort

Themen zu Debakel nach Netpumper-Installation
abgesicherten modus, adobe, antivir, antivirus, avg, avgnt, avgnt.exe, avira, bho, ctfmon.exe, diverse, excel, explorer, firefox, google, hijackthis, internet, internet explorer, microsoft, mozilla, mozilla firefox, programme, scan, security, software, symantec, system, temp, thomas, windows, windows xp



Ähnliche Themen: Debakel nach Netpumper-Installation


  1. Studie: In den USA droht ein Wahlmaschinen-Debakel
    Nachrichten - 17.09.2015 (0)
  2. Nach Superfish-Debakel: Lenovo will weniger Programme vorinstallieren
    Nachrichten - 27.02.2015 (0)
  3. Patch-Debakel: Microsoft bessert bei IE-Update nach
    Nachrichten - 18.12.2014 (0)
  4. Patch-Debakel: Microsoft zieht erneut Update zurück
    Nachrichten - 11.12.2014 (0)
  5. Malware nach Installation von MyPhoneExplorer
    Log-Analyse und Auswertung - 11.09.2014 (12)
  6. Umleitung auf sm.de nach Installation VCL-Player
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (8)
  7. Probleme mit searchgol nach deltatoolbar nach installation von imgburn (Win8-x64-chrome)
    Log-Analyse und Auswertung - 31.10.2013 (29)
  8. Virusproblem nach leethax.net installation
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (5)
  9. Nach SP3 Installation starke probleme
    Alles rund um Windows - 11.10.2012 (0)
  10. Startfenster.com nach Installation von VLC
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  11. Internet Probleme nach Netpumper Nutzung
    Log-Analyse und Auswertung - 07.11.2007 (1)
  12. Probleme nach Netpumper
    Mülltonne - 08.04.2007 (2)
  13. Virenbefall nach IE7-Installation
    Log-Analyse und Auswertung - 19.12.2006 (1)
  14. NACH IE7 Installation Abstürze
    Plagegeister aller Art und deren Bekämpfung - 26.11.2006 (4)
  15. Popups und Trojan.Swizzor.HS nach Netpumper / Antileech
    Mülltonne - 02.09.2006 (1)
  16. Popup nach AntiLeech / NetPumper
    Log-Analyse und Auswertung - 09.09.2005 (14)
  17. Nach XP Installation was tuen ?
    Antiviren-, Firewall- und andere Schutzprogramme - 11.07.2004 (10)

Zum Thema Debakel nach Netpumper-Installation - Hallo Experten, nachdem ich ahnungsloserweise Netpumper gedownloaded und installiert hatte, geht bei mir gar nichts mehr. Mein System steht still! Im abgesicherten Modus habe ich schon diverse Scanner laufen lassen. - Debakel nach Netpumper-Installation...
Archiv
Du betrachtest: Debakel nach Netpumper-Installation auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.