Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte HiJ Log checken

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 03.05.2007, 09:18   #1
Chriss0r
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Moin an alle, habe seit gestern abend ein schweres Problem....
Ich werde zur Identifikation des Problems schildern wie es (wahrscheinlich) passiert ist.
Seit einiger Zeit öffnet sich bei mir wenn ich mit FireFox surfe, Werbung in meinem IE6, obwohl ich eigentlich schonmal IE7 installiert habe. Aufjedenfall habe ich mir nicht viel dabei gedacht, bis gestern abend noch etwas passierte - auf meinem Desktop erschienen 2 *.exe dateien, eine davon hieß 1.exe, die führten sich wohl von selbst aus, und verschwanden dann wieder. Daraufhin konnte ich mein Firefox nicht mehr öffnen (zitat: "...wei js3250.dll nicht gefunden wurde"). Neuinstallation hat das Problem mit Firefox nur bis zum neustart behoben.

Mit Systemwiederherstellung und und der Windows Reparatur habe ich es auch schon versucht - vergebens wie es scheint.
Ich habe HijackThis laufen lassen - dann eScan (267kb log - hat 25 gefährliche Dateien gefunden) und dann nochmal HiJackThis, habe noch alle 3 logs. wobei beim entstehen des 2. logs auch eine Fehlermeldung erschien. Desweiteren stürzt mein PC bei folgenden Sachen sofort ab:
- wenn ich bei eScan auf "Ports anzeigen" klicke
- teilweise bei Installations/startversuchen von Firefox
- anscheinend auch beim normalen Herunterfahren, so das das Heruterfahren scheitert
- auch mal so zwischendurch

HiJackThis Log 1
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 09:08:56, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Other\Stardock\Object Desktop\KLP\Keys.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Treiber\mouz\MouseWare\system\em_exec.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
E:\Media\Winamp\winamp.exe
E:\Internet\Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\*benutzer*\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "E:\Other\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Other\Kaspersky\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCE30369-5CE5-463D-BCB4-B38892C2B098}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: WBSrv - E:\Other\Stardock\OBJECT~1\WINDOW~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Other\Kaspersky\avp.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000064 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
HiJackThis Log 2
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 09:42:52, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Treiber\mouz\MouseWare\system\em_exec.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Other\Stardock\Object Desktop\KLP\Keys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\*benutzer*\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "E:\Other\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Other\Kaspersky\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCE30369-5CE5-463D-BCB4-B38892C2B098}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: WBSrv - E:\Other\Stardock\OBJECT~1\WINDOW~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Other\Kaspersky\avp.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000064 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
Hoffentlich kann mir jemand helfen, falls noch Bedarf vom eScan log besteht, bitte melden^^

Alt 03.05.2007, 13:16   #2
Apocalypt
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



UiUiUi ^^
Zitat:
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
Kommt mir ebenso spanisch vor wie...
Zitat:
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lmo.dll
Und auch..
Zitat:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
Ok...Prüf die Datein mal bei Virustotal
oder Jotti.

Zitat:
C:\WINDOWS\system32\rpcc.dll
c:\windows\system32\lmo.dll
C:\WINDOWS\system32\ldhje783.dll
Ansonsten würd ich schonmal schwer auf Backdoor tippen, also kram deine XP-Cd schonmal hervor
__________________


Alt 03.05.2007, 20:42   #3
Chriss0r
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Ok ich werd das mal überprüfen. Das mit dem Firefox hab ich durch Google und Forensuche hinbekommen.

Ich hab mir ja alles durchgelesen, das man das System nicht wieder 100% fixen kann, aber ich will echt ungerne alles wieder neu installieren... ich hab die frage schonmal gestellt, aber kann man von einzelne Registry Einträgen ein backup machen? Also wenn ich zB ein Spiel auf der Partition behalte die nicht dieselbe ist wie Windows. Hat da jemand schon erfahrung mit gemacht? Dann wäre das Formatieren nur halb so schlimm^^

EDIT: so hier die Logfile von der Datei "c:\windows\system32\lmo.dll"
Zitat:
AhnLab-V3 2007.5.4.0 05.03.2007 no virus found
AntiVir 7.4.0.15 05.03.2007 TR/Vqten.A.7
Authentium 4.93.8 05.02.2007 no virus found
Avast 4.7.997.0 05.03.2007 no virus found
AVG 7.5.0.467 05.03.2007 no virus found
BitDefender 7.2 05.03.2007 Trojan.Vqten.A
CAT-QuickHeal 9.00 05.03.2007 no virus found
ClamAV devel-20070416 05.03.2007 no virus found
DrWeb 4.33 05.03.2007 Trojan.Vqten
eSafe 7.0.15.0 05.03.2007 Win32.Spabot
eTrust-Vet 30.7.3612 05.03.2007 Win32/Netvq!generic
Ewido 4.0 05.03.2007 Trojan.Vqten
FileAdvisor 1 05.03.2007 No threat detected
Fortinet 2.85.0.0 05.03.2007 NetVQ!tr
F-Prot 4.3.2.48 05.03.2007 no virus found
F-Secure 6.70.13030.0 05.03.2007 no virus found
Ikarus T3.1.1.7 05.03.2007 Trojan.Vqten
Kaspersky 4.0.2.24 05.03.2007 no virus found
McAfee 5023 05.03.2007 PWS-LSP
Microsoft 1.2503 05.03.2007 no virus found
NOD32v2 2237 05.03.2007 no virus found
Norman 5.80.02 05.03.2007 no virus found
Panda 9.0.0.4 05.03.2007 Adware/WebAttaker
Prevx1 V2 05.03.2007 Polynomial.Code.Exploit
Sophos 4.17.0 05.03.2007 Troj/NetVQ-Gen
Sunbelt 2.2.907.0 05.03.2007 Trojan.Vqten.A
Symantec 10 05.03.2007 Trojan.Spabot
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.03.2007 Trojan.Vqten
VirusBuster 4.3.7:9 05.03.2007 no virus found
Webwasher-Gateway 6.0.1 05.03.2007 Trojan.Vqten.A.7

Aditional Information
File size: 21504 bytes
MD5: 4f147061cbe59fa1e8ec404921ed1540
SHA1: e0baa0ba59ed489c7697d379557e80913a721c92
Bit9 info: Bit9 FileAdvisor - Search Results
Prevx info: WSRYDFZAG.DLL Spyware Remove
EDIT2:
Zitat:
Complete scanning result of "rpcc.dll", received in VirusTotal at 05.03.2007, 22:20:16 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.4.0 05.03.2007 no virus found
AntiVir 7.4.0.15 05.03.2007 no virus found
Authentium 4.93.8 05.02.2007 no virus found
Avast 4.7.997.0 05.03.2007 no virus found
AVG 7.5.0.467 05.03.2007 Proxy.NEE
BitDefender 7.2 05.03.2007 no virus found
CAT-QuickHeal 9.00 05.03.2007 TrojanProxy.Dlena.cp
ClamAV devel-20070416 05.03.2007 no virus found
DrWeb 4.33 05.03.2007 no virus found
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3612 05.03.2007 no virus found
Ewido 4.0 05.03.2007 no virus found
FileAdvisor 1 05.03.2007 no virus found
Fortinet 2.85.0.0 05.03.2007 suspicious
F-Prot 4.3.2.48 05.03.2007 no virus found
F-Secure 6.70.13030.0 05.03.2007 no virus found
Ikarus T3.1.1.7 05.03.2007 no virus found
Kaspersky 4.0.2.24 05.03.2007 no virus found
McAfee 5023 05.03.2007 no virus found
Microsoft 1.2503 05.03.2007 no virus found
NOD32v2 2238 05.03.2007 a variant of Win32/TrojanProxy.Dlena
Norman 5.80.02 05.03.2007 no virus found
Panda 9.0.0.4 05.03.2007 no virus found
Prevx1 V2 05.03.2007 Trojan.RPCC.Payload
Sophos 4.17.0 05.03.2007 no virus found
Sunbelt 2.2.907.0 05.03.2007 VIPRE.Suspicious
Symantec 10 05.03.2007 Trojan.Packed.9
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.03.2007 no virus found
VirusBuster 4.3.7:9 05.03.2007 no virus found
Webwasher-Gateway 6.0.1 05.03.2007 no virus found

Aditional Information
File size: 30720 bytes
MD5: 32124f492628481151d81039692e22b7
SHA1: 8c11744b4a64d58b614d33e6c05d1100832773de
Prevx info: RPCC.DLL Spyware Remove
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
__________________

Geändert von Chriss0r (03.05.2007 um 21:34 Uhr)

Alt 03.05.2007, 21:40   #4
Chriss0r
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Bei der letzten Datei kommt nur diese Meldung, weiß nich ob das an der Datei oder an der Seite liegt.
Zitat:
0 bytes size received / Se ha recibido un archivo vacio
Hoffe jemand kann mir weiterhelfen

Alt 04.05.2007, 22:57   #5
Chriss0r
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Kann mir denn keiner mehr helfen?
Ich habe mittlerweise versucht die Dateien zu löschen, nur lmo.dll kann ich nicht löschen. Hier das zeigt mein "unlocker" wenn er versucht die datei zu löschen, macht mir irgendwie angst das so viele Anwendungen diese dll brauchen.

Ich habe festgestellt das alle Anwendungen die ich starte in diesem Fenster auftauchen und lmo.dll "brauchen"

Hier ein Screenshot davon: "52.74 KB"
http://real-world.ch/chriswww/files/...ker-screen.jpg


Alt 04.05.2007, 23:57   #6
MightyMarc
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Lösch die DLL über die Wiederherstellungskonsole. In der Konsole folgendes eingeben:

del /F C:\windows\system32\lmo.dll
__________________
--> Bitte HiJ Log checken

Alt 05.05.2007, 13:31   #7
Chriss0r
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Ich hab lmo.dll gelöscht, erfolgreich. Aber ich kann jetzt nicht mehr ins Internet, also ich kann mich einwählen, kann aber keine Seite aufrufen.
hier nochmal ein HijackThis Log:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:17:38, on 05.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Other\Stardock\Object Desktop\KLP\Keys.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Treiber\mouz\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Eigene Dateien\misC\screener.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\*benutzer*\Desktop\virus stuff\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "E:\Other\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Other\Kaspersky\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\lmo.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCE30369-5CE5-463D-BCB4-B38892C2B098}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O20 - Winlogon Notify: WBSrv - E:\Other\Stardock\OBJECT~1\WINDOW~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Other\Kaspersky\avp.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000064 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
wenn ich übrigens versuche "NetworkActivPIAFCTMv 1.5" zu starten kommt diese Meldung: "Error code 10106 while attempting to create socket"
und dann noch: "Make sure raw sockets are enabled on your system...."

Alt 05.05.2007, 13:33   #8
MightyMarc
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Führe bitte lspfix aus.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 05.05.2007, 16:58   #9
Chriss0r
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Jetz funktioniert mein Internet wieder, DANKE für eure Hilfe soweit.
hier nochmal ein HijackThis Log:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:54:05, on 05.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Other\Stardock\Object Desktop\KLP\Keys.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Treiber\mouz\MouseWare\system\em_exec.exe
E:\Other\Kaspersky\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Internet\Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe
C:\Dokumente und Einstellungen\*benutzer*\Desktop\virus stuff\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: C:\WINDOWS\system32\ldhje783.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "E:\Other\Kaspersky\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Other\Kaspersky\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Internet\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCE30369-5CE5-463D-BCB4-B38892C2B098}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O20 - Winlogon Notify: WBSrv - E:\Other\Stardock\OBJECT~1\WINDOW~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Other\Kaspersky\avp.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000064 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

Alt 05.05.2007, 17:25   #10
Chriss0r
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Ich habe immer noch den Fehler das ich mir nicht die Ports anzeigen lassen kann.
Weiß jemand was das zu bedeuten hat?
Und was ist das:
Zitat:
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
Habe ein AMD Prozessor, ist das normal so.

Alt 05.05.2007, 17:42   #11
MightyMarc
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Sorry, ich hatte mir das HJT-Log nicht genau angeschaut. Bevor wir jetzt den nächsten Trojaner löschen und dann feststellen, dass doch noch einer da ist sollten wir erstmal nen Überblick gewinnen. Halte Dich bitte exakt an folgende Anleitgung. Bei Unklarheiten frage bitte nach:

das Update funktioniert leider selten auf Anhieb. Einfach mehrmals versuchen.

Gruß

Marc
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 05.05.2007, 20:28   #12
Chriss0r
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Hier das was find.bat ausgegeben hat:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.01.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.1.9
Sprache: German

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with bridge Spyware/Adware (bridge.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with bridge Spyware/Adware (bridge.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\SYSTEM32\KPROF infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\SYSTEM32\POOF infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\koos.exe infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\kprof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\poof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\koos.exe infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\kprof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\poof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Chriss0r\Desktop\virus stuff\NetworkActivPIAFCTMv1.5.exe markiert als not-a-virus:NetTool.Win32.Piafctm.152. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Chriss0r\Desktop\virus stuff\NetworkActivPIAFCTMv1.5.exe markiert als not-a-virus:NetTool.Win32.Piafctm.152. Keine Aktion vorgenommen.
Datei C:\Program Files\NetworkActiv PIAFCTM 1.5\NetworkActivPIAFCTMv1.5.exe markiert als not-a-virus:NetTool.Win32.Piafctm.152. Keine Aktion vorgenommen.
File C:\Programme\Gemeinsame Dateien\Uninstall Information\RemoveWebDP.exe markiert als "not-a-virus:AdWare.Win32.DelphinMediaViewer.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Gemeinsame Dateien\{88E87B0C-07DB-1031-0309-060602060031}\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Gemeinsame Dateien\{88E87B0C-07DB-1031-0309-060602060031}\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc1\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc1\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc2\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc2\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc3\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc3\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc4\system.dll markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-18\Dc4\Update.exe markiert als "not-a-virus:AdWare.Win32.Softomate.ac". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Andere\screensaver\waterfree.exe//WISE0023.BIN//SaveNow.exe markiert als "not-a-virus:AdWare.Win32.SaveNow.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\desktop 2\virus stuff\NetworkActivPIAFCTMv1.5.exe markiert als not-a-virus:NetTool.Win32.Piafctm.152. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\gfx\bridge.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\gfx\bridge.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = C:\WINDOWS\system32\rpcc.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc). Deleting Registry Key rpcc...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
D:\Andere\ReaJPEG.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 72646
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 63
Dauer des Scans bisher: 01:29:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:25:40,95
Batchende: 21:25:42,60

Alt 05.05.2007, 20:32   #13
Apocalypt
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Zitat:
Trojan-Proxy.Win32.Wopla.ag
Ist ein Backdoor Dir bleibt wohl nichts anderes als neuaufsetzen. Anleitung im FAQ-Bereich.

Sorry

Alt 05.05.2007, 21:36   #14
Chriss0r
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Ne wie gesagt neu aufsetzen kommt für mich nicht in Frage solange mein System noch einwandfrei arbeitet, und nachdem ich diese befallenen Dateien erfolgreich gelöscht habe geht wieder alles. Nur das "Ports anzeigen lassen" funktioniert nachwievor nicht, da stürtzt der PC sofort ab und zeigt SEHR kurz eine Bluescreen-Meldung, zu kurz um es lesen zu können. Ich würde nur Neuaufsetzen wenn es nicht mehr richtig funktioniert oder ich meine Spiele und Programme nicht alle neuinstallieren muss, weil manche Programme kann ich nicht mehr neu Installieren, desweiteren sind es einfach sehr viele Programme die ich auch alle neu einrichten müsste.

Warum antwortet keiner auf die Frage ob ich ein Backup für bestimmte Teile von der Registrierung erstellen kann, welches ich für das neuerstellte System benutzen kann? Kennt sich da keiner aus, oder ist das Schwachsinn?^^

Alt 05.05.2007, 21:44   #15
MightyMarc
 
Bitte HiJ Log checken - Standard

Bitte HiJ Log checken



Zitat:
Zitat von Chriss0r Beitrag anzeigen
Warum antwortet keiner auf die Frage ob ich ein Backup für bestimmte Teile von der Registrierung erstellen kann, welches ich für das neuerstellte System benutzen kann? Kennt sich da keiner aus, oder ist das Schwachsinn?^^
Das funktioniert unter Umständen mit Software, die sich lediglich unter HKLM\Software verewigt
Es macht aber keinen Sinn ein System neuaufzusetzen und dann alte Hives einzuspielen.

Mit der Diagnose Backdoor und dem Hinweis auf die Anleitung zum Neuaufsetzen in der FAQ-Sektion ist die Sache für mich gelaufen. Ein kompromittiertes System ist wie ein toter Gaul nur das beim Gaul offentsichtlich ist, wo das Problem liegt.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Antwort

Themen zu Bitte HiJ Log checken
.dll, 1.exe, bho, desktop, einstellungen, ellung, excel, explorer, fehlermeldung, firefox, helfen, herunterfahren, hijack, hijackthis, internet, internet explorer, kaspersky, logfile, neustart, nicht gefunden, nicht mehr öffnen, nvidia, object, rundll, server, software, unknown file in winsock lsp, urlsearchhook, von selbst, werbung, windows, windows xp, öffnet



Ähnliche Themen: Bitte HiJ Log checken


  1. Bitte log checken
    Log-Analyse und Auswertung - 11.10.2009 (35)
  2. Bitte log checken
    Log-Analyse und Auswertung - 03.09.2008 (14)
  3. Bitte checken!
    Mülltonne - 31.08.2008 (0)
  4. Bitte mal Checken!!!
    Mülltonne - 19.09.2007 (0)
  5. HJT log Bitte checken
    Mülltonne - 07.09.2007 (0)
  6. Bitte Log checken
    Mülltonne - 15.06.2007 (0)
  7. Bitte mal checken
    Mülltonne - 12.06.2007 (0)
  8. SCVHOST.EXE Log file bitte checken! Bitte um hilfe
    Log-Analyse und Auswertung - 06.06.2007 (8)
  9. Bitte HJT checken
    Log-Analyse und Auswertung - 04.10.2006 (1)
  10. Bitte mal checken!
    Log-Analyse und Auswertung - 04.04.2006 (1)
  11. bitte mal checken
    Log-Analyse und Auswertung - 13.01.2006 (7)
  12. Bitte mal checken
    Log-Analyse und Auswertung - 02.07.2005 (0)
  13. bitte log checken
    Log-Analyse und Auswertung - 05.06.2005 (3)
  14. Log bitte Checken
    Log-Analyse und Auswertung - 05.06.2005 (1)
  15. log checken bitte
    Log-Analyse und Auswertung - 21.03.2005 (13)
  16. bitte mal checken
    Log-Analyse und Auswertung - 27.12.2004 (10)
  17. Bitte checken
    Log-Analyse und Auswertung - 16.06.2004 (4)

Zum Thema Bitte HiJ Log checken - Moin an alle, habe seit gestern abend ein schweres Problem.... Ich werde zur Identifikation des Problems schildern wie es (wahrscheinlich) passiert ist. Seit einiger Zeit öffnet sich bei mir wenn - Bitte HiJ Log checken...
Archiv
Du betrachtest: Bitte HiJ Log checken auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.