Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: puta!, speedy, opa und msupdate.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.05.2008, 14:42   #1
trunx
 
puta!, speedy, opa und msupdate.exe - Standard

puta!, speedy, opa und msupdate.exe



Hallo Forum,

ich habe heute den halben Tag damit verbracht, meinen Rechner wieder halbwegs zum Laufen zu bringen, wenigstens schreibe ich schon wieder diesen Text von hier aus...Es wäre schön, wenn jemand sich mal das hijack-logfile ansieht, weil ich davon ehrlich gesagt keine Ahnung habe.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:48, on 16.05.08
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 SP1 (5.00.2614.3500)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\ESM2\SAGENT95.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\ESM2\EBRR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\MOZILLA THUNDERBIRD\THUNDERBIRD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAM FILES\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TBU90E4\TBU1A1\TOOLBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TBU90E4\TBU1A1\TOOLBAR.DLL
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [SAgent95ExePath] C:\ESM2\SAgent95.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TBU90E4\TBU1A1\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.135

desweiteren folgende Frage - in der msconfig -> win.ini -> windows hatte ich etliche Einträge zu o.g. Virenprogammen, doch leider kann man sie dort nur deaktivieren und ändern aber nicht löschen. Wie macht man das?

vielen Dank im voraus

bye trunx

Alt 16.05.2008, 15:01   #2
Sternensucht
 
puta!, speedy, opa und msupdate.exe - Standard

puta!, speedy, opa und msupdate.exe



Hallo und Herzlich Willkommen....
1.) Es wird angezeigt das deine HiJackThis-Version veraltet ist. Schau bitte mal bei TrendMicro vorbei und gucke ob es eine neuere Version gibt. Wenn ja, dann mache bitte ein neues Logfile.
2.) Versuche den Internet Explorer zu updaten. Die Version 5 ist veraltet und hat auch ein paar Sicherheitslücken , über die Schädlinge auf deinen Computer übertragen werden können.
3.) Führe bitte dieses Programm aus:
http://www.trojaner-board.de/50508-anleitung-escan.html
Ich hoffe das es unter Windows 98 noch läuft...
__________________

__________________

Alt 16.05.2008, 18:35   #3
KarlKarl
/// Helfer-Team
 
puta!, speedy, opa und msupdate.exe - Standard

puta!, speedy, opa und msupdate.exe



Hi,

da ist nicht nur der IE veraltet. Das komplette Betriebssystem ist veraltet und hat Sicherheitslücken, über die der Computer infiziert werden kann. dummerweise gibt es auch keine Updates mehr, ist einfach sehr veraltet. Außer Komplettupdate auf ein jüngeres Betriebssystem, z.B. Windows 2000.

Antivir unterstützt Windows 98 nicht mehr. Fast alle Hersteller von Virenscannern untersstützen Windows 98 nicht mehr. Eventuell geht es mit Avast noch eine Zeit.

Die Hijackthis-Version ist aktuell. Das passiert, wenn man der Onlineauswertung blind vertraut. Hier noch harmlos kann das in anderen Fällen arg schief gehen, manches System musste schon neu installiert werden weil alles gefixt wurde was in der Olnineauswertung nicht gut aussah. Selber auswerten, eigenes Wissen, ist besser. Die Onlineauswertung ist nur ein Hilfsmittel dafür.

Gruß, Karl
__________________

Alt 17.05.2008, 07:32   #4
Sternensucht
 
puta!, speedy, opa und msupdate.exe - Icon32

puta!, speedy, opa und msupdate.exe



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Hi,

da ist nicht nur der IE veraltet. Das komplette Betriebssystem ist veraltet und hat Sicherheitslücken, über die der Computer infiziert werden kann. dummerweise gibt es auch keine Updates mehr, ist einfach sehr veraltet. Außer Komplettupdate auf ein jüngeres Betriebssystem, z.B. Windows 2000.
Das weiß ich auch. Außerdem vertraue ich nicht blind auf die HiJackThis-Auswertung. Hätte ja nun wirklich sein kommen das ein Update rausgekommen ist. Das der IE veraltet ist , hatte ich ja schon erwähnt...
Zitat:
Antivir unterstützt Windows 98 nicht mehr. Fast alle Hersteller von Virenscannern untersstützen Windows 98 nicht mehr. Eventuell geht es mit Avast noch eine Zeit.
Ein Punkt für dich. Es scheint wirklich so , das es für Windows 98 SE wohl keinen (guten) Antivirenscanner mehr gibt. Wie Du gesehen hast , hab ich unter den Link von eScan auch geschrieben das ich hoffe , das dieses Programm noch unter Windows 98 läuft.

Zitat:
Die Hijackthis-Version ist aktuell. Das passiert, wenn man der Onlineauswertung blind vertraut. Hier noch harmlos kann das in anderen Fällen arg schief gehen, manches System musste schon neu installiert werden weil alles gefixt wurde was in der Olnineauswertung nicht gut aussah. Selber auswerten, eigenes Wissen, ist besser. Die Onlineauswertung ist nur ein Hilfsmittel dafür.

Gruß, Karl
Das weiß ich auch. Aber wie bei 1 beschrieben , hätte es sein können. Darüber könnten Wir uns ja wohl nun weitere Jahre streiten.
__________________
Die Signatur wurde geklaut.

Alt 17.05.2008, 10:52   #5
trunx
 
puta!, speedy, opa und msupdate.exe - Standard

puta!, speedy, opa und msupdate.exe



Hallo,

vielen Dank für die Antworten. Ich weiß, dass mein System ziemlich veraltet ist, aber das ist beabsichtigt - ich erstelle Webseiten und teste auf diesem System die Ansicht mit älteren Browsern. Dennoch erstaunt es mich, dass ein Internet Explorer 5.0 angezeigt wird, denn den habe ich nicht auf diesem System (der läuft bei mir auf einem XP - und auf einem Linux-Rechner (mit virtuellem Win98)), tatsächlich ist ein IE 6.0 installiert, die obige Nachricht hatte ich allerdings mit einem Firefox 1.5 geschrieben...hmm, sehr merkwürdig.
Antivir hat die Unterstützung für Win98 ab Januar diesen Jahres eingestellt, bis dahin war auch dieser Rechner ziemlich sicher, trotzdem hat mir dieser Scanner gestern noch gute Dienste geleistet. Das Hijack - Programm hatte ich erst gestern installiert, es sollte also aktuell sein; kann man erkennen, ob noch Virenprogramme ausgeführt werden? Ich werde auf jeden Fall diese escan Sache ausprobieren, na mal sehen...ich melde mich dann wieder.

Aber wie gesagt, vielen Dank erstmal :-)

bye trunx


Alt 18.05.2008, 23:19   #6
trunx
 
puta!, speedy, opa und msupdate.exe - Standard

puta!, speedy, opa und msupdate.exe



Hallo,

ich habe nun wie vorgeschlagen einen escan gemacht und folgendes Ergebnis bekommen:

Objekt "unknown trojan Spyware/Adware" im Dateisystem gefunden!
Objekt "regsort Corrupted Adware/Spyware" im Dateisystem gefunden!
Objekt "combo Spyware/Adware" im Dateisystem gefunden!
Eintrag "HKCR\Overview.Document" verweist auf das ungültige Objekt "{DA23B9C9-6893-11D0-8534-00C04FD7AD0C}".
Eintrag "HKCR\Photoshop.Application.4" verweist auf das ungültige Objekt "{6DECC242-87EF-11cf-86B4-444553540000}".
Eintrag "HKCR\Zb.ZbCmdProcessRawImages" verweist auf das ungültige Objekt "{4DCADFA0-556A-4288-AB68-833C51A2CF6B}".
Eintrag "HKCR\Zb.ZbCmdProcessRawImages.1" verweist auf das ungültige Objekt "{4DCADFA0-556A-4288-AB68-833C51A2CF6B}".
Eintrag "HKCR\Zb.ZbCmdRemoteCapture.1" verweist auf das ungültige Objekt "{7D-4BB0-B709-A17422EEB6587D5BAFEE-5A}".
Eintrag "HKCR\Zb.ZbCmdRemoteCapture" verweist auf das ungültige Objekt "{7D-4BB0-B709-A17422EEB6587D5BAFEE-5A}".
Eintrag "HKCR\Photoshop.Application.6" verweist auf das ungültige Objekt "{6DECC242-87EF-11cf-86B4-444553540000}".
Eintrag "HKCR\CorelDRAW.StateChartObject.10" verweist auf das ungültige Objekt "{88B40185-1463-11d4-B6C3-009027912773}".
Eintrag "HKCR\CorelDRAW.StateChartObject" verweist auf das ungültige Objekt "{88B40185-1463-11d4-B6C3-009027912773}".
Eintrag "HKCR\PDF.PdfCtrl.6" verweist auf das ungültige Objekt "{CA8A9780-280D-11CF-A24D-444553540000}".
Eintrag "HKCR\ICQPhone.SipxPhoneManager" verweist auf das ungültige Objekt "{82308D15-1A2C-416A-A5BE-21DAF85DDB75}".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Office\Assistnt\logo.act".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Office\Assistnt\scribble.act".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Office\Assistnt\dot.act".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Office\Assistnt\mnature.act".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Office\Assistnt\hoverbot.act".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Office\Assistnt\will.act".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Office\Assistnt\powerpup.act".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\Office\Assistnt\genius.act".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\KPCMS\CMSCP\CP01".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\iccsigs.dat".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\SYSTEM\LTIH21TB.DLL".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\DvzCommon\".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\Startmenü\Programme\PrintMe Internet Printing\".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\Server\mysql\data\".
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\Server\mysql\data\mysql\".
Eintrag "HKLM\Software\Microsoft\Windows\Shared Tools\msoc.dll" verweist auf das ungültige Objekt "C:\Programme\Microsoft Office\Office".
Datei C:\tmp\aus.bat infiziert durch den Virus "Trojan.BAT.ExitWindows.e"!

Wie versteht man die zahlreichen "Eintrag ... verweist auf das ungültige Objekt sowieso"? Manchmal sind die Objekte noch da, wie werden sie wieder gültig? Und wenn sie nicht da sind, kann man sie mit regedit einfach löschen?

Die Letzte Datei ist von mir, weil das Herunterfahren nicht mehr geht, ich habe also in die aus.bat rundll.exe user,ExitWindows geschrieben; da schon mein Antivir Programm mit einer Virenwarnung kam habe ich die rundll ersetzt, aber die Fehlermeldung bleibt...

Was macht man mit den ersten drei Objekten?

bye trunx

Antwort

Themen zu puta!, speedy, opa und msupdate.exe
antivir, button, explorer, firefox, folge, forum, frage, hijackthis, internet, internet explorer, java, keine ahnung, links, micro, microsoft, mozilla, mozilla firefox, mozilla thunderbird, programme, rechner, rundll, rundll32.exe, services, software, start, system, trend, urlsearchhook, windows, ändern




Zum Thema puta!, speedy, opa und msupdate.exe - Hallo Forum, ich habe heute den halben Tag damit verbracht, meinen Rechner wieder halbwegs zum Laufen zu bringen, wenigstens schreibe ich schon wieder diesen Text von hier aus...Es wäre schön, - puta!, speedy, opa und msupdate.exe...
Archiv
Du betrachtest: puta!, speedy, opa und msupdate.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.